发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站
发现木马病毒的网站是非法的吗:记录某大门户网站自动跳转不良网站但是,那句话怎么说的:此时内心是绝望的,这么下去今晚是别想睡了。打开重定向面板,发现啥也没配置,然后检查web.config,也没有异常。既然如此,干脆删掉现有的网站服务,重新创建个应用池,重新绑定域名和目录,一顿操作之后,再次访问网站,仍然跳转垃圾站!
然后整个团队又骂骂咧咧地把网站文件全部又扒拉了一遍,确实没有病毒代码了。
代码已经干净了,不可能再跳转了啊,但是事实就摆在眼前。
无论多难以置信,虽然忙活了大半天,最后不得不承认:跳转垃圾站,不是网站源代码的问题。
既然不是源代码问题,那一定是IIS的问题了。难道是301重定向?
打开重定向面板,发现啥也没配置,然后检查web.config,也没有异常。
既然如此,干脆删掉现有的网站服务,重新创建个应用池,重新绑定域名和目录,一顿操作之后,再次访问网站,仍然跳转垃圾站!
此时内心是绝望的,这么下去今晚是别想睡了。
但是,那句话怎么说的:
“只要努力就有希望。”
“现在所面对的问题也许正在迎来转机。”
当我把网站再次重启的时候,IIS突然报出一个错误:
HttpResetModule.dll,我怎么没见过这个东西呢,网上查了一下也没看到有这个东西的介绍,最终我大胆的猜想,是不是这个东西就不该存在呢。
为了早点睡觉,把心一横,就打算删掉这个模块看看。
进IIS模块管理:
在列表里找到HttpResetModule,删除!
删除得很顺利,然后再次进行测试,网站不跳转垃圾站了!
Holy Shit!黑客竟然做到了这一步!
到这里才彻底明白,黑客竟然改造了IIS,对方用提权工具拿到了服务器控制权限,然后给IIS加了一个额外的重定向模块,在网站里植入那么多的木马病毒文件只是烟雾弹,真凶竟然在IIS模块中,这位黑客实在是高。
看来这个服务器环境已经彻底不安全了,重装系统是必然的。另外这网站用了漏洞这么多的CMS系统开发,重构也是必然的,否则再次被入侵也只是时间问题。这就不关我们团队的事喽。
总之这次木马病毒清理难度还是比较高的,虽然累,但是成就感很足。最后把成果发到领导群里,表扬赞美之词略过不提。