文档章节

服务器被挂Iframe木马的解决方法(不是IIS映射修改,也不是ARP病毒,并且网页文件源代码里没有

李朝强
 李朝强
发布于 2014/11/22 13:21
字数 688
阅读 28
收藏 1
点赞 0
评论 0

今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了。

进入服务器,看了下文件源代码里并没有这个iframe的代码,但整个服务器的所有网站访问后代码里都自动加了这个iframe代码。

我第一反应会不会是IIS映射被修改了啊,查看了下

里面也没什么被修改的

突然我想起以前大学的时候,学校网站也出现过这个问题,是当时疯狂的ARP病毒引起的,就是不是本机有病毒,网络中有混杂模式的机子。于是我想建议装一个ARP防火墙。网络上搜了下,说也可能是IIS里WEB服务扩展引起的,于是我又看了下,发现没什么问题。

最后我突然发现一个地方,有异常,就是这里,让我暂时解决了这个问题(可能系统中有DLL或EXE文件病毒了,还要系统杀毒才行,服务器不是我管,我也只能干着急了。)

如下图:

启动文档页脚,这里附加了一个htm文件,我用文本文档打开c:\windows\system32\com\iis.htm,发现里面就是这个 iframe的代码,而且这个htm正常情况也是没有的,于是我把起用文档页脚去掉,把这个htm文件删了,问题就暂时解决了(因为可能系统还有病毒,所 以算暂时解决吧)

网上很多人说自己服务器中了ARP病毒攻击,IIS尾巴之类的,如果都没能解决,请注意看下起用文档这个地方,希望对你有帮助。

以前也玩过一段时间马,不过好久没碰这些了,根据这个js文件,我找到了很多htm文件,都是病毒网站上的,我下载下来了,有空要好好分析分析,如果闲得慌,给他服务器扫描扫描,帮他服务器找找后门:)

 

------------------------------

刚刚看了下,原来做这种木马只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代码就行了(C是系统盘),比如:

<IIsWebVirtualDir Location ="/LM/W3SVC/81120797/root"
  AccessFlags="AccessRead | AccessScript"
  AppFriendlyName="默认应用程序"
  AppIsolated="2"
  AppRoot="/LM/W3SVC/81120797/Root"
  AuthFlags="AuthAnonymous | AuthNTLM"
  DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"

如上,在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木马的htm文件就行了,没什么难度,不过知道原理后,自己不要做破坏就行了。:)

© 著作权归作者所有

共有 人打赏支持
李朝强
粉丝 80
博文 268
码字总数 137210
作品 0
郑州
产品经理
我要尽力告诉大家!现在机房里头的ARP攻击已经没那么简单了!!!很严重!!!

我跟很多有托管服务器的朋友告诫了,如果托管的机房客户比较杂,千百个建议,必须在机器上预先绑定网关的 mac 地址。 现在的 ARP 攻击已经不单单是会让你服务器断网。 而是会直接绑架你首页的...

范堡 ⋅ 2011/06/29 ⋅ 6

DEDE安全设置

strong textdedecms是好用,优化也好,就是不安全,个人是这样认为的,今天 闲着没事 整理了一些有助于dedecms网站安全的一些设置,可以说是目前最全的dedecms安全设置!...

冰袋雪条火筒木冬瓜 ⋅ 2013/11/26 ⋅ 0

ARP攻击防制的基本方法_路由器怎么抵御ARP病毒

ARP欺骗攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。这里小编解释了ARP攻击防制的基本思想。我们认为读者如果能了解这个基本思想,就...

ARP攻击 ⋅ 2017/12/11 ⋅ 0

如何快速查找局域网内ARP病毒源,防止ARP攻击

三招快速找到ARP病毒源 第一招:使用Sniffer抓包  在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。原理:...

故地南国 ⋅ 2017/06/12 ⋅ 0

iPhone 存高危漏洞秒变木马,幕后间谍公司惨遭曝光

网页中的数行 JavaScrip 代码就能破解你的 iPhone?这不是传说,以色列的一家间谍软件公司在至少在去年初就发现了这个漏洞,之后开发成监控软件卖给中东的情报机构。其主要通过短信传播。只要...

黎嘉诚 ⋅ 2016/08/28 ⋅ 0

no buffer space available try changing

公司服务器最近几天一直报错误,大概运行一天就报如下异常。 java.net.SocketException: No buffer space available (maximum connections reached?): JVMBind 搞的很是郁闷,转载篇文章,貌...

今天来找bug ⋅ 2016/03/21 ⋅ 0

请注意:Linux木马(Trojan)跑出来了

近日,UnrealLIRC.com网站管理员垂头丧气地出来承认,他们的Unix/Linux源代码库(下载源)遭到了恶人破坏,被偷偷地篡改了一个源代码文件,里面留下一个“后门”,随着下载,跑出去一只木马(...

老枪 ⋅ 2010/06/16 ⋅ 8

炎热八月,小心"落雪"

昨天晚上发现电脑出了点问题,用一用的系统消耗的内存就上到了1G多,系统报告虚拟内存不足.看了一下任务管理器,发现一个进程WINLOGON.exe可疑.网上找了一下资料,原来是中了木马"落雪",该木马还...

浣熊干面包 ⋅ 2012/12/20 ⋅ 0

网页挂马的原理和实现方式

网页挂马 一、网页挂马介绍 (1)、挂马与网马 1、挂马 Ø从“挂马”这个词中就知道,它和“木马”脱离不了关系,的确,挂马的目的就是将木马传播出去 Ø黑客入侵了一些网站之后,将自己编定...

甘兵 ⋅ 2013/07/29 ⋅ 0

揭秘黑客攻击内幕和20个黑客相关术语

一些黑客术语是必须掌握的。此外,对于许多初级黑客或者即将走进黑客群体的用户来说,掌握一些网络平安相关术语可以协助用户更好地了解和踏入黑客之门。下面详细介绍了黑客领域罕见的一些专业...

卢松松博客 ⋅ 2017/11/23 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Boost库编译应用

版本:Boost 1.66.0 Windows库编译 官网指南:直接执行bootstrap.bat处理文件即可,可以我却遇到一堆的问题。 环境:Windows 10 + Visual Studio 2017 Boost编译出来库命名 boost库生成文件命...

水海云 ⋅ 16分钟前 ⋅ 0

解决Eclipse发布到Tomcat丢失依赖jar包的问题

如果jar文件是以外部依赖的形式导入的。Eclipse将web项目发布到Tomcat时,是不会自动发布这些依赖的。 可以通过Eclipse在项目上右击 - Propertics - Deployment Assembly,添加“Java Build ...

ArlenXu ⋅ 16分钟前 ⋅ 0

iview tree组件层级过多时可左右滚动

使用vue+iview的tree组件,iview官网iview的tree树形控件 问题描述:tree层级过多时左右不可滚动 问题解决:修改overflow属性值 .el-tree-node>.el-tree-node_children { overflow: vi...

YXMBetter ⋅ 18分钟前 ⋅ 0

分布式锁

1.通过数据库实现 http://www.weizijun.cn/2016/03/17/%E8%81%8A%E4%B8%80%E8%81%8A%E5%88%86%E5%B8%83%E5%BC%8F%E9%94%81%E7%9A%84%E8%AE%BE%E8%AE%A1/ 2.ZK实现:curator-recipes分布式锁的......

素雷 ⋅ 26分钟前 ⋅ 0

Sublime Text3 快捷键

选择类 Ctrl+D 选中光标所占的文本,继续操作则会选中下一个相同的文本。 Alt+F3 选中文本按下快捷键,即可一次性选择全部的相同文本进行同时编辑。举个栗子:快速选中并更改所有相同的变量名...

AndyZhouX ⋅ 33分钟前 ⋅ 0

XamarinAndroid组件教程RecylerView自定义适配器动画

XamarinAndroid组件教程RecylerView自定义适配器动画 如果RecyclerViewAnimators.Adapters命名空间中没有所需要的适配器动画,开发者可以自定义动画。此时,需要让自定义的动画继承Animation...

大学霸 ⋅ 33分钟前 ⋅ 0

eureka 基础(二)

使用Eureka服务器进行身份验证 如果其中一个eureka.client.serviceUrl.defaultZone网址中包含一个凭据(如http://user:password@localhost:8761/eureka)),HTTP基本身份验证将自动添加到您...

明理萝 ⋅ 36分钟前 ⋅ 1

Kubernetes(五) - Service

Kubernetes解决的另外一个痛点就是服务发现,服务发现机制和容器开放访问都是通过Service来实现的,把Deployment和Service关联起来只需要Label标签相同就可以关联起来形成负载均衡,基于kuberne...

喵了_个咪 ⋅ 37分钟前 ⋅ 0

更新队友POM文件后报错

打开报错的地方的pom及其引用方法所在文件的pom,观察其版本号是否一致,不一致进行更改

森火 ⋅ 50分钟前 ⋅ 0

IDEA使用sonarLint

一、IDEA如何安装SonarLint插件 1.打开 Idea 2.点击【File】 3.点击【Settings】 4.点击【Plugins】 5.在搜索栏中输入“sonarlint”关键字 6.点击【Install】进行安装 7.重启Idea 二、IDEA如...

开源中国成都区源花 ⋅ 55分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部