不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

记录一次企业官网被挂马的排查过程

问题描述

访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页

排查过程

初步判断可能被修改js文件,但是翻阅了长时间,文件内容检索等,头皮都发麻了,翻了2个小时,都未发现js修改的痕迹,而且发现此服务器搭载的所有网站都出现了此问题

看来事情不是那么简单了,现在的紧要任务就是抓紧将问题解决,不然影响太大

通过服务器的D盾工具,查杀出多个变型的webshell

查看进程列表,定位到IIS进程,w3wp.exe

看到几个加载可疑的dll扩展

初步判断可能是IIS模块劫持

无公司信息说明,即没有数字标签

定位到文件位置,查看属性

iiscrash64.dll文件修改时间显示为2020/5/20

Iiscrash32.dll文件修改时间显示为2020/5/20

httpevt.dll文件修改时间显示为2014/3/21

本地扫描两个上传文件,火绒均报毒

并且从IIS模块扩展中找到了两个文件

从IIS模块管理删除两个模块

重启服务器,发现还未解决

重新看一下httpevt.dll文件,查看属性发现文件创建日期为2020/07/12

将此文件也进行杀毒查杀,但是未报毒,应该是一个规则处理类

本身网站跳转也不会有报毒

再从IIS模块管理中删除此文件,清除服务器缓存文件,重启服务器

所有服务器问题均解决

剩下的就是找到漏洞,修复漏洞,然后清一下马了

转自:csdn

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » 记录一次企业官网被挂马的排查过程

相关推荐

  • 暂无文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏