win2008服务器iis安全问题,劫持了applicationHost.config,网站被篡改案例 FilterSecurity.dll mscorevt.dll 32.dll 64.dll 木马问题
[ 2019-11-21 15:30:28 | 作者: admin ]
p.s. 当服务器中大量网站被劫持或者应用程序池启动和关闭容易报错,就可能是遇到这个问题,务必检查 applicationHost.config 文件,如果存在恶意dll,就先在iis的模块中删除相关模块,然后再 applicationHost.config中删除相关模块链接语句 。最后必须修改管理员密码。
症状为在百度useragent下会抓取非法网站,其他useragent下正常。
来源:https://www.secpulse.com/archives/113500.html
是时候解决症状问题了,在服务器上打开URL Snooper监测服务器对外URL请求:
务必检查配置文件 C:\Windows\System32\inetsrv\config\applicationHost.config ,找到有嫌疑的DLL链接
木马文件名随意取,一般是
FilterSecurity32.dll , FilterSecurity64.dll , 32.dll , 64.dll , mscorevt.dll等等等等
,不能完全相信文件时间,只能作为判断依据。
木马可能存放的位置 C:\Windows\System32\inetsrv\ 或者 C:\Windows\SysWOW64\inetsrv
通过virustotal扫描发现确实恶意文件,32bit的mscorevt.dll被Avira定义为:TR/AD.CoinMiner.hmjwc
核查当时的进程日志,恰好对应上攻击者操作(利用appcmd命令安装恶意dll模块),遇到问题查看日志是做下一步分析的前提。
攻击者获取到管理员权限,因为 applicationHost.config 需要 system和administrators权限。
查看日志发现居然还清理过系统日志,而清理者是guest,而这个guest是建立的一个影子账号且加入了administrators组,处理好账号安全,停用和删除所有不需要的账号。
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2629
症状为在百度useragent下会抓取非法网站,其他useragent下正常。
来源:https://www.secpulse.com/archives/113500.html
是时候解决症状问题了,在服务器上打开URL Snooper监测服务器对外URL请求:
务必检查配置文件 C:\Windows\System32\inetsrv\config\applicationHost.config ,找到有嫌疑的DLL链接
木马文件名随意取,一般是
FilterSecurity32.dll , FilterSecurity64.dll , 32.dll , 64.dll , mscorevt.dll等等等等
,不能完全相信文件时间,只能作为判断依据。
木马可能存放的位置 C:\Windows\System32\inetsrv\ 或者 C:\Windows\SysWOW64\inetsrv
通过virustotal扫描发现确实恶意文件,32bit的mscorevt.dll被Avira定义为:TR/AD.CoinMiner.hmjwc
核查当时的进程日志,恰好对应上攻击者操作(利用appcmd命令安装恶意dll模块),遇到问题查看日志是做下一步分析的前提。
攻击者获取到管理员权限,因为 applicationHost.config 需要 system和administrators权限。
查看日志发现居然还清理过系统日志,而清理者是guest,而这个guest是建立的一个影子账号且加入了administrators组,处理好账号安全,停用和删除所有不需要的账号。
[最后修改由 admin, 于 2023-11-18 15:41:55]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2629
这篇日志没有评论。
此日志不可发表评论。
