内容摘要

image-1611026577346.png

可以看到正常情况下打开无异常页面返回404。http头返回却是200 ,返回的肯定存在异常。

image-1611026527806.png

curl -i –user-agent 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)' http://www.ynrenai.com/20698479451/CdBxu/ -X "GET"

此时通过修改User-Agent也无法发现异常,经测需要修改来源referer即能触发

用CURL命令 或者用火狐浏览器插件

curl -i –referer http://www.baidu.com –user-agent 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)' http://www.ynrenai.com/20698479451/CdBxu/ -X "GET"

image-1611027152772.pngimage-1611027378860.png

初步排查范围

1、检查网站目录程序配置文件无异常,web.config跳转规则无异常,用户反馈所有站点都存在跳转,初步判断问题出在IIS

2、检查ISAPI加载项

3、检查处理程序映射

4、检查模块无异常

以上检查暂未发现异常

另寻他它法:

1、利用第三方工具,检查IIS网站进程加载的dll文件,D盾及其他进程查看工具均可

image-1611032342522.png

发现端倪

image-1611027944158.png

此处dll列表对应是IIS模块加载的配置,经过对比其它IIS7服务器 发现这两处均被篡改

image-1611028133741.png篡改文件信息

image-1611028238001.png

image-1611028256837.png

image-1611028924991.png

判断文件是否正常的小方法:文件修改时间,文件描述签名等

image-1611028328823.png

image-1611028346641.png

正常的文件

image-1611028400172.png

image-1611028416338.png

正常的所有模块如下,之前应名称被迷惑未发现所以最好是对比名称和文件名路径

image-1611028516312.png备份下这两个dll 在IIS模块查找对应名称删除再删除目录下文件重启IIS

image-1611029063886.png

image-1611032016093.pngimage-1611032045324.png

再次检查进程调用发现已经无异常dll调用,网站也恢复正常

image-1611032501706.pngimage-1611032446805.pngimage-1611032484504.png

剩下的就是做全面的安全扫描检查,修改所有密码信息,与常规检查无异。