文档章节

服务器被挂Iframe木马的解决方法(不是IIS映射修改,也不是ARP病毒,并且网页文件源代码里没有

李朝强
 李朝强
发布于 2014/11/22 13:21
字数 688
阅读 50
收藏 1

「深度学习福利」大神带你进阶工程师,立即查看>>>

今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了。

进入服务器,看了下文件源代码里并没有这个iframe的代码,但整个服务器的所有网站访问后代码里都自动加了这个iframe代码。

我第一反应会不会是IIS映射被修改了啊,查看了下

里面也没什么被修改的

突然我想起以前大学的时候,学校网站也出现过这个问题,是当时疯狂的ARP病毒引起的,就是不是本机有病毒,网络中有混杂模式的机子。于是我想建议装一个ARP防火墙。网络上搜了下,说也可能是IIS里WEB服务扩展引起的,于是我又看了下,发现没什么问题。

最后我突然发现一个地方,有异常,就是这里,让我暂时解决了这个问题(可能系统中有DLL或EXE文件病毒了,还要系统杀毒才行,服务器不是我管,我也只能干着急了。)

如下图:

启动文档页脚,这里附加了一个htm文件,我用文本文档打开c:\windows\system32\com\iis.htm,发现里面就是这个 iframe的代码,而且这个htm正常情况也是没有的,于是我把起用文档页脚去掉,把这个htm文件删了,问题就暂时解决了(因为可能系统还有病毒,所 以算暂时解决吧)

网上很多人说自己服务器中了ARP病毒攻击,IIS尾巴之类的,如果都没能解决,请注意看下起用文档这个地方,希望对你有帮助。

以前也玩过一段时间马,不过好久没碰这些了,根据这个js文件,我找到了很多htm文件,都是病毒网站上的,我下载下来了,有空要好好分析分析,如果闲得慌,给他服务器扫描扫描,帮他服务器找找后门:)

 

------------------------------

刚刚看了下,原来做这种木马只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代码就行了(C是系统盘),比如:

<IIsWebVirtualDir Location ="/LM/W3SVC/81120797/root"
  AccessFlags="AccessRead | AccessScript"
  AppFriendlyName="默认应用程序"
  AppIsolated="2"
  AppRoot="/LM/W3SVC/81120797/Root"
  AuthFlags="AuthAnonymous | AuthNTLM"
  DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"

如上,在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木马的htm文件就行了,没什么难度,不过知道原理后,自己不要做破坏就行了。:)

李朝强
粉丝 93
博文 314
码字总数 157539
作品 0
郑州
产品经理
私信 提问
加载中
请先登录后再评论。
Netty那点事(三)Channel与Pipeline

Channel是理解和使用Netty的核心。Channel的涉及内容较多,这里我使用由浅入深的介绍方法。在这篇文章中,我们主要介绍Channel部分中Pipeline实现机制。为了避免枯燥,借用一下《盗梦空间》的...

黄亿华
2013/11/24
2W
22
记一次失败的Perl + Nginx + FastCGI 配置过程

这两天心血来潮,不知道为什么和 Perl + Nginx + FastCGI 配置 耗上了。但是失败了,记录如下: 1)安装Nginx 1.4.3 ,我的是WINDOWS 7 系统,修改配置文件如下: location ~ .(pl|cgi|perl)?...

通吃岛-低手哥
2013/10/27
1.8K
7
访问安全控制解决方案

本文是《轻量级 Java Web 框架架构设计》的系列博文。 今天想和大家简单的分享一下,在 Smart 中是如何做到访问安全控制的。也就是说,当没有登录或 Session 过期时所做的操作,会自动退回到...

黄勇
2013/11/03
3.7K
8
用vertx实现高吞吐量的站点计数器

工具:vertx,redis,mongodb,log4j 源代码地址:https://github.com/jianglibo/visitrank 先看架构图: 如果你不熟悉vertx,请先google一下。我这里将vertx当作一个容器,上面所有的圆圈要...

jianglibo
2014/04/03
4.4K
3
Flappy Bird(安卓版)逆向分析(一)

更改每过一关的增长分数 反编译的步骤就不介绍了,我们直接来看反编译得到的文件夹 方法1:在smali目录下,我们看到org/andengine/,可以知晓游戏是由andengine引擎开发的。打开/res/raw/at...

enimey
2014/03/04
6.2K
18

没有更多内容

加载失败,请刷新页面

加载更多

Hacker News 简讯 2020-08-15

最后更新时间: 2020-08-15 04:01 Welders set off Beirut blast while securing explosives - (maritime-executive.com) 焊工在固定炸药的同时引爆了贝鲁特爆炸 得分:215 | 评论:209 Factor......

FalconChen
今天
24
0
OSChina 周六乱弹 —— 老椅小猫秋乡梦 梦里石台堆小鱼

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @小小编辑 :《MOM》- 蜡笔小心 《MOM》- 蜡笔小心 手机党少年们想听歌,请使劲儿戳(这里) @狄工 :腾讯又在裁员了,35岁以上清退,抖音看到...

小小编辑
今天
61
1
构建高性能队列,你不得不知道的底层知识!

前言 本文收录于专辑:http://dwz.win/HjK,点击解锁更多数据结构与算法的知识。 你好,我是彤哥。 上一节,我们一起学习了如何将递归改写为非递归,其中,用到的数据结构主要是栈。 栈和队列...

彤哥读源码
今天
17
0
Anaconda下安装keras和tensorflow

Anaconda下安装keras和tensorflow 一、下载并安装Anaconda: Anaconda下载 安装步骤: 如果是多用户操作系统选择All Users,单用户选择Just Me 选择合适的安装路径 然后勾选这个,自动配置环境...

Atlantis-Brook
今天
15
0
滴滴ElasticSearch千万级TPS写入性能翻倍技术剖析

桔妹导读:滴滴ElasticSearch平台承接了公司内部所有使用ElasticSearch的业务,包括核心搜索、RDS从库、日志检索、安全数据分析、指标数据分析等等。平台规模达到了3000+节点,5PB 的数据存储...

滴滴技术
今天
13
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部