[讨论]IIS被挂马 不是arp 找不到代码
议题作者:hudd信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
服务器上一共有200多个站.经过研究发现 貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..
开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...
另外我希望管理员好心通过一下.... 补充一下:重装IIS 也不行.地址是[url]http://zlzs.com/bbs/[/url] 最好用记事本打开吧 arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下 站点打开了显示数据库连接字串错误。 IIS启用了文档页脚?
还是某个dll的问题? 传说中的IIS挂马,在 站点下建立虚拟目录。LZ找下这方面的文章看看 可以结帖了..还是msxml3.dll 问题.. 楼主具体说下你怎么解决的问题,这样大家也可以学习下 system32/msxml3.dll 这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....
只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛 刚刚讲的system32/msxml3.dll这个文件不能修改文件名,是不是在调用时已经插入到了EXPLOER进程里了呢? 结束explorer进程,在cmd下替换试试~ 也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断 其是否被恶意程序替换了
数据库挂马
跑去看看数据库服务器 isapi被改了吧. [img]http://pic.yupoo.com/sunlei/8633957e68b0/ul4oj2jy.jpg[/img]用于向网页中插入代码,支持iframe以及script 标签。
原本这程序是别人定做的,因为交易方式的分歧,闹的不惶而散。
看到群里有人不知道在那弄到的,当成宝贝是的,既然没交易,就发出来吧。
原本人家是用来挂广告的,让有心人用来挂马用了
原理很简单,就是在IIS应用程序池isapi,特点是解决了win2003假死问题,缩短IIS应用池回收时间。
测试环境WIN2003+IIS XPSP2+IIS WIN2000没测试。
首先打开GetID.exe获取注册号,运行IIS_AD.exe生成DLL文件,加载到IIS应用池就OK了
有了他服务器任何的一个页面都会有广告代码或者网马代码。
之后修改IIS_AD.ini里的内容:
[IIS_AD]
ADjs=<script language=’javascript’>alert(’Welcome to User IIS AD !’);</script>
支持iframe以及script 标签
详情见:[url=http://www.script74.cn/blog/article.asp?id=174]http://www.script74.cn/blog/article.asp?id=174[/url]
小菜都可以看看,顺便提供工具下载哈!!
页:
[1]