快捷搜索:  汽车  科技

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站但是,那句话怎么说的:此时内心是绝望的,这么下去今晚是别想睡了。打开重定向面板,发现啥也没配置,然后检查web.config,也没有异常。既然如此,干脆删掉现有的网站服务,重新创建个应用池,重新绑定域名和目录,一顿操作之后,再次访问网站,仍然跳转垃圾站!

然后整个团队又骂骂咧咧地把网站文件全部又扒拉了一遍,确实没有病毒代码了。

代码已经干净了,不可能再跳转了啊,但是事实就摆在眼前。

无论多难以置信,虽然忙活了大半天,最后不得不承认:跳转垃圾站,不是网站源代码的问题。

既然不是源代码问题,那一定是IIS的问题了。难道是301重定向?

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站(1)

打开重定向面板,发现啥也没配置,然后检查web.config,也没有异常。

既然如此,干脆删掉现有的网站服务,重新创建个应用池,重新绑定域名和目录,一顿操作之后,再次访问网站,仍然跳转垃圾站!

此时内心是绝望的,这么下去今晚是别想睡了。

但是,那句话怎么说的:

“只要努力就有希望。”

“现在所面对的问题也许正在迎来转机。”

当我把网站再次重启的时候,IIS突然报出一个错误:

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站(2)

HttpResetModule.dll,我怎么没见过这个东西呢,网上查了一下也没看到有这个东西的介绍,最终我大胆的猜想,是不是这个东西就不该存在呢。

为了早点睡觉,把心一横,就打算删掉这个模块看看。

进IIS模块管理:

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站(3)

在列表里找到HttpResetModule,删除!

发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站(4)

删除得很顺利,然后再次进行测试,网站不跳转垃圾站了!

Holy Shit!黑客竟然做到了这一步!

到这里才彻底明白,黑客竟然改造了IIS,对方用提权工具拿到了服务器控制权限,然后给IIS加了一个额外的重定向模块,在网站里植入那么多的木马病毒文件只是烟雾弹,真凶竟然在IIS模块中,这位黑客实在是高。

看来这个服务器环境已经彻底不安全了,重装系统是必然的。另外这网站用了漏洞这么多的CMS系统开发,重构也是必然的,否则再次被入侵也只是时间问题。这就不关我们团队的事喽。

总之这次木马病毒清理难度还是比较高的,虽然累,但是成就感很足。最后把成果发到领导群里,表扬赞美之词略过不提。

猜您喜欢: