小崔设计

网站被挂马，页面文件没有被修改，也不是ARP攻击！

以前的网站被挂马，一般不外乎有两种情况。
一种是网站被上传了Webshell，页面文件被批处理挂代码，这个有很多批处理软件可以删除代码，不是问题。
另一种是网站被整站挂马，所有页面访问的时候都会发现被加了恶意代码，但是在服务器上看到页面文件并没有被修改，这一般就是ARP攻击。其实这个也不是问题，现在消灭ARP攻击的软件很多，各种免费的ARP防火墙都能应付。<!–more–>

今天遇到的是既没有修改页面文件，服务器也没有提示ARP攻击的情况。
而且奇怪的是只有静态页面.html或.htm的才被挂马，.php的动态页面却没问题。
访问网站时页面顶部加了一行script代码 

其实就是一个免费的二级域名，指到了一个IP：60.190.162.211的浙江省湖州市 电信的地址，也没心情去分析它们的病毒原理了，呵呵。
开始的时候一直还以为是ARP了，给机房的值班人员打电话让他们查，也没查到。

后来经过“刻苦”的研究，原来这是一起极为罕见的IIS挂马。
打开IIS，右键点击网站-属性，找到ISAPI选项卡，发现了里面除了常见的.net和php的支持文件外，还多了一个伪装成.net 3.6的，指向一个IIS_AD.dll的文件，级别是高。原来IIS里面被人夹带了一个莫名的封装文件。删除！重启IIS，iisreset！再打开网站，好了。

目前这个被加载的IIS_AD.dll文件，任何一款杀毒软件和查木马的软件都不能有效发现并杀掉，还得靠肉眼来实现，希望各家杀毒软件厂商快点儿更新吧。

Posted in 网络安全 | 3 Comments »