發(fā)布者:售前芳華【已離職】 |
本文章發(fā)表于:2023-04-17
閱讀數(shù):2261
一臺服務(wù)器幾乎所有網(wǎng)站打開網(wǎng)頁HTML都被自動加上如的iframe代碼,經(jīng)檢查程序、JS���、CSS的時間都沒有被修改�。這種樣式的代碼,有的在頭部����,有的在尾部�����,部分殺毒軟件打開會報毒���,打開HTML或ASP�、PHP頁面�����,在源碼中怎么也找不到這段代碼。首先你可以隨意建一個HTML文件上傳到服務(wù)器����,通過網(wǎng)站打開���,如發(fā)現(xiàn)這個文件加入了iframe代碼那說明中招了�����。
第一種方法:檢查IIS文檔頁腳
注意紅框處�,無特殊情況文檔頁腳是不會被啟用的,如果看到這里勾選并指向了一個本地HTML文件�����,可以打開指向本地文件查看是否為木馬病毒代碼���。
第二種方法:檢查MetaBase.xml文件
MetaBase.xml是IIS里的一個配置文件���,位置是:C:\WINDOWS\system32\inetsrv\MetaBase.xml
檢查是否被添加上如下一段代碼:
--------------------------------------------------------------
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默認(rèn)應(yīng)用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"
--------------------------------------------------------------
DefaultDocFooter=后面一般都是跟一個本地的文件,木馬病毒就在這里了��,把這段刪除即可��。
特別提示:MetaBase.xml無法直接修改�����,需要停止IIS服務(wù)才能修改����,或者在IIS管理器中右擊本地計算機--選擇屬性����,勾選"允許直接編輯配置數(shù)據(jù)庫"�,這樣就可以在不停止IIS的情況下編輯metabase.xml文件。
第三種方法:檢查ISAPI篩選器
目前這些DLL加載的文件�����,任何一款殺毒軟件和殺木馬軟件還不能有效發(fā)現(xiàn)并殺掉�。方法:打開IIS��,右鍵點擊網(wǎng)站�����,屬性——找到ISAPI選項卡,檢查下里面是否多了一些陌生的DLL文件����。如果有陌生的DLL刪除��,重啟IIS即可�。
第四種方法:檢查global.asa木馬
先解釋一下這個代碼的作用:因為global.asa 文件是網(wǎng)站啟動的文件��,當(dāng)一個網(wǎng)站被用戶訪問的時候�,會執(zhí)行Application_Start代碼段的內(nèi)容�����,當(dāng)一個用戶第一次訪問時會執(zhí)行Session_Start代碼段的內(nèi)容�����,所以此段代碼的作用就是當(dāng)訪問的時候自動下載獲取木馬內(nèi)容����,上面遇到的就是跳轉(zhuǎn)性作用的木馬代碼�。global.asa木馬一樣平常不會影響網(wǎng)站的正常運行�,黑客一樣平常行使global.asa木馬不是為了來破壞網(wǎng)站的運行���,他們與網(wǎng)站黑鏈類似,一樣平常是對網(wǎng)站的搜索引擎收錄產(chǎn)生特別很是惡劣的影響�。常體現(xiàn)為搜索引擎收錄大量莫名其妙的網(wǎng)站題目��,而這些題目絕對不是本身網(wǎng)站發(fā)布的內(nèi)容���,點擊鏈接進(jìn)入的依然是本網(wǎng)站的頁面�,但題目不同,點擊百度快照發(fā)現(xiàn)百度提醒:“對不起���,您所查看的網(wǎng)頁不許可百度保存其快照�,您可以直接訪問某某網(wǎng)址”,這說明你的網(wǎng)站已經(jīng)中招了!它的直接后果是網(wǎng)站在搜索引擎的排名降落或者徹底消散���,緊張的還會讓訪問者在訪問你的網(wǎng)站的時候電腦中毒!
global.asa這個文件一般是在根目錄下的,屬于系統(tǒng)文件只能在cmd命令下強制刪除�����。
云安全相關(guān)活動
最新活動
閩公網(wǎng)安備 35020302000839號