win2003服务器某一个网站被劫持,windows server 2012 iis被劫持的处理过程

标签:关闭   安装   inf   pcm   tool   ext   重写   download   ocs

需要用到的工具filemon下载地址:FileMon for Windows v7.04

上周五晚接到有客户反应,网站打开很慢,而且百度搜索有很多博彩信息,打开依然能打开。第一反应就是网站被挂马了。网站从百度快照打开时程序一定加了来源判断转到了博彩网站。

于是通过下载服务器安全狗及WebShellKiller工具检测,然后人工检查js及相关动态文件都没有找到木马的踪影。怀疑是iis自身的问题。

于是再次分析从百度快照打开的网页,发现在服务器的网站文件夹里很多都是不存在的,如果不从百度快照打开,直接输入网址打开是404错误。证明这个目录在服务器的网站文件夹中是不存在的,也没有虚拟目录。

通过百度站长工具,服务器上的所有网站通过抓取诊断工具分析都加了一段代码:

191123214U5H9.jpg

哪就证明不是单个网站的问题,于是把所有网站关闭,搭建了一个测试环境

191123214UEE.jpg

网站目录文件

191123214U6220.jpg

header上加了 referer:https://www.baidu.com

191123214U6244.jpg

header分析【为了说明引用了另一个网站的header】

191123214UOb.jpg

191123214UK09.jpg

直接访问网址显示404错误

怀疑可能是iis加载了非法模块,为了快速恢复,于是计划重新安装iis再测试下。、

iis备份站点(不会备份源文件)

191123214UX49.jpg

appcmd命令 位置:C:WindowsSystem32inetsrv

191123214UV39.jpg

备份命令:appcmd.exe add backup backupname(备份名称)

191123214U9361.jpg

备份文件地址(可将此文件拷贝到其它地方)

列出备份:

appcmd.exe list backup

恢复备份

在恢复一个备份时,IIS停止运行,并且重写服务器的状态。一旦配置文件被重写,IIS随即重新启动。如果不希望IIS停止运行并重新启动,那么可以是使用/stop:false。这样,就可以在合适的时间手动停止IIS运行,并手动重新启动IIS

appcmd.exe restore backup  /back.name:"XXX" /stop:false

appcmd.exe  restore backup /backup.name:"XXX"

删除备份

appcmd.exe relete backup  XXX

备份好后,删除以下文件夹:(删除iis时不会自动删除,需要手动删除,删除时最好备份一下)

C:WindowsSystem32inetsrv

C:WindowsSysWOW64inetsrv

C:inetpub

删除IIS请参考:https://jingyan.baidu.com/article/bad08e1e85e98009c951216e.html

删除后然后按照删除去掉的windows功能重新再添加上。添加上后,测试默认网站的请求,并没有问题,哪就说明iis没有问题

于是通过appcmd命令恢复iis的备份再测试的时候,网站又重新出现了百度快照劫持的问题,这就怀疑可能是网站配置方面可能哪个地方出现了问题,通过百度查找,最后找个一个监控服务器进程的工具 filemon,

这个工具可以监控指定进程处理事件过程

191123214U9142.jpg

下载后,filter( ctrl L 快捷方式))设置只显示w3wp.exe进程

191123214Z0611.jpg

路径(Path)设置包括(contains) hot2019路径名,然后点击添加(Add) 点击下面的OK 即可

191123214Z1C0.jpg

经过请求分析,tests.szqj.com在向服务端发送请求时,同时服务端向同一个Ip地址 发送了请求,猜测是通过这个请求返回了菠菜信息数据,于是通过防火墙的屏蔽功能,屏蔽了这个IP,然后再通过来源为百度测试没有了数据。接下来就是分析这个w3wp.exe是怎样请求到这个IP数据的问题了,正在查找中,未完待续。

删除后我对iis的备份

windows server 2012 iis被劫持的处理过程

标签:关闭   安装   inf   pcm   tool   ext   重写   download   ocs

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值