什么现象是IIS挂马?
(前提)网站程序没有发现被挂马的文件,
- 但是访问网站的时候,页面会突然跳转到到别的网站去
- 网站会出现莫名奇妙的链接,图片,页面等。
- 网站域名经常会有错误的,甚至是莫名奇妙的地址访问(有的时候是扫漏洞,但是次数多了,就是被挂马,域名被反利用了)
IIS的重要文件夹
C:inetpub : IIS文件的操作历史,日志,默认文件
C:inetpubhistory: IIS配置文件更改历史记录
C:WindowsSystem32inetsrv : IIS文件,模块都在这里(32位)
C:WindowsSysWOW64inetsrv : IIS文件,模块都在这里(64位)
C:WindowsMicrosoft.NETFramework : .NET Framework 的相关文件
C:WindowsMicrosoft.NETFramework64 : .NET Framework 的相关文件(64位)
C:inetpubcusterr : IIS的默认错误页面
IIS的重要几个文件
C:inetpubwwwrootiisstart.htm
这个IIS默认基础文件,如果页面上有出现特殊脚本,代码上没有,就要检查下这个文件是否正常,是否有什么其他不良的脚本,需要进行修复
C:WindowsSystem32inetsrvconfigapplicationHost.config
这个IIS的配置文件,所有IIS设置项都在这里面。 如果IIS被挂马的话,这个文件肯定被添加了一些新的映射Moludes, 这个文件里重点排查 modules globalModules 这两个节点。看下是否有一些挂马文件被引用。
C:WindowsSystem32inetsrvMetaBase.xml
这个是IIS的设置文件,有的木马,是在这里设置请求和请求尾追加一些脚本,例如DefaultDocFooter :默认自定义Footer,这里可以指向一个为文件或者地址, EnableDocFooter 是 true, 表示启动自定义页脚,因此如果出现这种现象,就要检查下相关文件
解决方法: 就是找几个重要的文件夹,用时间来搜索,看下近期没有修改的文件,进行排查
如果找到可疑的文件无法删除,可以进入CMD, tasklist /m ***.dll 来查看DLL文件被什么程序占用的
上一次排查中,配置文件被挂入一些木马:如下截图
下面罗列一些比较常见的挂马文件
mscorevt.dll
mscorevts.dll
mscorevt32.dll
mscorevt64.dll
FilterSecurity.dll
FilterSecurity32.dll
FilterSecurity64.dll