内容摘要
可以看到正常情况下打开无异常页面返回404。http头返回却是200 ,返回的肯定存在异常。
curl -i –user-agent 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)' http://www.ynrenai.com/20698479451/CdBxu/ -X "GET"
此时通过修改User-Agent也无法发现异常,经测需要修改来源referer即能触发
用CURL命令 或者用火狐浏览器插件
curl -i –referer http://www.baidu.com –user-agent 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)' http://www.ynrenai.com/20698479451/CdBxu/ -X "GET"
初步排查范围
1、检查网站目录程序配置文件无异常,web.config跳转规则无异常,用户反馈所有站点都存在跳转,初步判断问题出在IIS
2、检查ISAPI加载项
3、检查处理程序映射
4、检查模块无异常
以上检查暂未发现异常
另寻他它法:
1、利用第三方工具,检查IIS网站进程加载的dll文件,D盾及其他进程查看工具均可
发现端倪
此处dll列表对应是IIS模块加载的配置,经过对比其它IIS7服务器 发现这两处均被篡改
篡改文件信息
判断文件是否正常的小方法:文件修改时间,文件描述签名等
正常的文件
正常的所有模块如下,之前应名称被迷惑未发现所以最好是对比名称和文件名路径
备份下这两个dll 在IIS模块查找对应名称删除再删除目录下文件重启IIS
再次检查进程调用发现已经无异常dll调用,网站也恢复正常
剩下的就是做全面的安全扫描检查,修改所有密码信息,与常规检查无异。