记录一次企业官网被挂马的排查过程

最新推荐文章于 2023-07-06 20:57:33 发布
最新推荐文章于 2023-07-06 20:57:33 发布
阅读量895 收藏 3
点赞数
分类专栏: 安全 服务器 文章标签: 安全漏洞 网络安全
By Azjj 转发请注明
本文链接:https://blog.csdn.net/weixin_44578334/article/details/109530118
版权

事情发生在一个月前的晚上,因为领导下令了,客户网站被挂马,跳转bc页,影响比较大,刚打完王者农药的我默默的关闭了手机,开启了我的花呗分期的电脑。

问题描述 

访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页

 

排查过程 

初步判断可能被修改js文件,但是翻阅了长时间,文件内容检索等,头皮都发麻了,翻了2个小时,都未发现js修改的痕迹,而且发现此服务器搭载的所有网站都出现了此问题

看来事情不是那么简单了,现在的紧要任务就是抓紧将问题解决,不然影响太大

通过服务器的D盾工具,查杀出多个变型的webshell

 

查看进程列表,定位到IIS进程,w3wp.exe

看到几个加载可疑的dll扩展

初步判断可能是IIS模块劫持

 

无公司信息说明,即没有数字标签

定位到文件位置,查看属性

iiscrash64.dll文件修改时间显示为2020/5/20

Iiscrash32.dll文件修改时间显示为2020/5/20

httpevt.dll文件修改时间显示为2014/3/21

本地扫描两个上传文件,火绒均报毒

并且从IIS模块扩展中找到了两个文件

 

从IIS模块管理删除两个模块

重启服务器,发现还未解决

重新看一下httpevt.dll文件,查看属性发现文件创建日期为2020/07/12

将此文件也进行杀毒查杀,但是未报毒,应该是一个规则处理类

本身网站跳转也不会有报毒

 

再从IIS模块管理中删除此文件,清除服务器缓存文件,重启服务器

所有服务器问题均解决

 

剩下的就是找到漏洞,修复漏洞,然后清一下马了 

Azjj98
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
一次Centos服务器被的抓经历
09-15
主要介绍了记一次Centos服务器被的抓经历分享,非常不错,具有参考借鉴价值,需要的朋友参考下
讲解SQL Server数据库被的解决方案
08-04
一个网站遭遇入侵,破坏相当严重,SQL数据库被,所有的表里面大部分字段都被多次重复插入代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞。...
windows核心编程---DLL基础
x13262608581的博客
12-03 684
-DLL 1.windows API函数都在DLL中. 2.三个最重要的DLL Kernel32.dll:管理内存,进程,线程 User32.dll:执行用户界面相关,入窗口,窗口消息 GDI32.dll:绘制图像,显示文字。 AdvAPI32.dll:安全性,注册表,事件日志。 ComDlg32.dll:通用对话框控件。 ComCtl32.dll:通用控件 3.本章介绍,如何创建
unity 遇见websocket
u013748096的专栏
02-02 1463
如题,项目背景:手机端H5需要实时控制PC端参与游戏互动。 服务端用java语言编写,为手机端和PC端消息通信做中间媒介,实时和两端保持长连接通信。通信消息用google开发的protobuf对数据结构进行序列化和反序列化。 手机端H5: 1、js引入第三方protobuf第三方js库,<script type="text/javascript" src="js/protobuf.js"></script>。 2、制定通信协议和字段类型,字段名。把它放入一个消息文件中,便于p
网站的原因排查,附图文操作教程
12-31 806
相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站怎么处理,如何进行排查呢? 本文结合自己的处理流程进行梳理并分享。 1)服务器防御性非常重要 多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。 我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门
【应急响应】网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
今天是几号的博客
03-14 1819
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
如何解决网站首页老被黑客篡改并被百度安全中心拦截提示 该页面存在木病毒的实战过程
热门推荐
网站安全专家
06-20 1万+
2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木病毒!网站在百度的收录与快照也被劫持成什么世界杯投注,以及博彩,赌博等等的内容,根据以上客户给我们反映的网站被黑的问题,我们Sine安全公司立即安排安全技术人员对客户网站被黑的情况进行了详细的网站安全检测与代码的人工安全审...
Web应急:网站首页被篡改
06-10 595
网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。 问题处理 1、确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:...
如何快速精准地实现网页篡改监测与处置
andre1918的博客
02-16 654
网页篡改,即攻击者故意篡改网络上传送的报文,通过入侵系统篡改数据、劫持网络连接或插入数据等形式进行,其本质是黑客通过注入攻击、文件包含等Web攻击方式,或者植入病毒木等攻击手法获取网站管理权限,从而对网站内容进行篡改。网页篡改具有传播速度快、传播范围广、事后影响大、事后消除难等特点。
ASP.Net网站数据库被后手动清除一例
03-16
NULL 博文链接:https://sivyer.iteye.com/blog/440174
网站扫描器(MScaner)
11-22
网站扫描器(MScaner)是一款自动化扫描分析网站是否被的工具。MScaner可对网站进行自动化扫描分析,探测是否被,所网页木利用何种漏洞。 主要功能: * 自动化的网站检测
数据库中的内容字段被的替换方法 SQL注入
12-15
清除了sqlsever中的一些字段,现在总结sqlsever批量替换数据库字段一文,希望可以帮助有需要的人。 【处理方法】 1、先备份数据,防止删除字段的时候,丢失数据; 2、对的表中的字段text小于8000...
科汛CMS防止网站和arp欺骗等
09-28
关键字描述:欺骗 网站 防止 ... 网站的路径有多种,如程序方面的漏洞引起,IIS,arp欺骗,sql数据库漏洞等!1.程序方面: 首先就要保证程序已打上官方发布的所有最新补丁,及时升级到最新版本.如果之前
网站页面篡改的应急处置
千寻的博客
03-23 6108
文章目录排查思路常见技术手段直接篡改页面iframe框架篡改JS 文件篡改其他篡改处置过程事件描述处置过程简述摘抄 排查思路 排查篡改的页面。 排查是否有Webshell。 排查是否存在操作系统级木排查网站存在的漏洞及黑客的攻击路径。 进行综合分析及溯源。 常见技术手段 直接篡改页面 直接篡改页面是比较简单的一种方式,常见的是篡改首页或二级页面,包括直接进行替换、篡改图片、篡改内容等。 这类事件在应急响应中,这种方式相对比较简单,可以直接发现。 iframe框架篡改 使用HTML语句“” (
记录某大门户网站自动跳转不良网站,团队通宵排查病毒木过程
毕竟我是大神的博客
08-01 650
某大门户网站,从搜索引擎结果点击网站,自动跳转不良网站,团队通宵清理病毒,把代码翻遍竟然没有任何发现,最后发现竟然和代码无关。
第162天:应急响应-网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
最新发布
qq_46081990的博客
07-06 531
针对网页篡改与Web后门攻击应对措施:基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
第三十三期:连接池中非常关键的两个参数,到底是干啥用的?
歌谣的博客
10-27 261
说来惭愧,从事互联网开发好些年了,有些概念一直没有彻底搞清楚。其中之一就是,ttp client配置连接池的时候,maxConnectionsPerHost,和maxTotalConnections,在网上搜了一圈,发现很多都讲的含含糊糊的。 作者:资深开发讲技术 背景 说来惭愧,从事互联网开发好些年了,有些概念一直没有彻底搞清楚。其中之一就是,ttp client配置连接池的时候,max...
IIS崩溃时自动抓取Dump
weixin_33769125的博客
04-02 336
原文:IIS崩溃时自动抓取Dump背景:在客户现场,IIS有时会崩溃,开发环境没法重现这个bug,唯有抓取IIS的崩溃是的Dump文件分析. IIS崩溃时自动抓取Dump,需要满足下面几个条件 1、启动 Windows Error Reporting Service 服务   2、移除默认的调试器   如果你的机器装了VS开发工具,会在注册表里写入调试器地址,需要把它删除。 找到...
Druid未授权漏洞实战利用
Azjj
08-30 9281
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任 0x00 前言 最近一直想更一篇实战的文章,距离上篇文章已经过去5个月了,上个月本来是想更一个湾湾大学的内网实战的,但是奈何搞到一半被管理员发现了,所控的服务器全部下线了,也就没再弄下去,此文章是在某SRC的某个企业的渗透实战,干货不是很多,但是相信对你的实战思路绝对是有帮助的。 0x01Druid未授权漏洞发现 对于Druid未授权访问,直接用扫描工具就可.
怎么看网站的工具
03-31
作为AI,我无法提供具体的工具,但是以下是一些检测网站是否被的方法: 1. 使用杀毒软件扫描:使用一款可靠的杀毒软件,对网站进行全面扫描,以查找是否存在恶意软件。 2. 检查网站的安全证书:如果网站拥有有效的安全证书,那么访问该网站时浏览器会显示一个锁形状的图标,表示该网站是安全的。 3. 检查网站的源代码:检查网站的源代码,查看是否存在恶意代码,例如JavaScript等。 4. 检查网站的访问速度:如果网站的访问速度变慢,可能是因为网站被黑客攻击,导致网站的性能下降。 5. 使用在线工具:在线工具如Google Safe Browsing、VirusTotal等可以帮助检测网站是否被。 请注意,这些方法都是相对可靠的,但不能保证100%准确性。如果怀疑网站,应该尽快联系网站管理员或专业的安全团队进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Azjj98

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值