(掛馬現(xiàn)象：非IIS映射修改,非ARP病毒,且源代碼里沒有iframe代碼的)今天訪問公司的一個(gè)網(wǎng)站，突然發(fā)現(xiàn)網(wǎng)頁顯示不對(duì)，右鍵查看HTML代碼，發(fā)現(xiàn)iframe了一個(gè)網(wǎng)站的js文件，不用說，肯定被掛馬了。

進(jìn)入服務(wù)器，看了下文件源代碼里并沒有這個(gè)iframe代碼，但整個(gè)服務(wù)器的所有網(wǎng)站訪問后代碼里都自動(dòng)加了這個(gè)iframe代碼。

我第一反應(yīng)會(huì)不會(huì)是IIS映射被修改了啊，查看了下里面也沒什么被修改的

突然我想起以前大學(xué)的時(shí)候，學(xué)校網(wǎng)站也出現(xiàn)過這個(gè)問題，是當(dāng)時(shí)瘋狂的ARP病毒引起的，就是不是本機(jī)有病毒，網(wǎng)絡(luò)中有混雜模式的機(jī)子。于是我想建議裝一個(gè)ARP防火墻。網(wǎng)絡(luò)上搜了下，說也可能是IIS里WEB服務(wù)擴(kuò)展引起的，于是我又看了下，發(fā)現(xiàn)沒什么問題。

最后我突然發(fā)現(xiàn)一個(gè)地方，有異常，就是這里，讓我暫時(shí)解決了這個(gè)問題（可能系統(tǒng)中有DLL或EXE文件病毒了，還要系統(tǒng)殺毒才行，服務(wù)器不是我管，我也只能干著急了。）

如下圖：

啟動(dòng)文檔頁腳，這里附加了一個(gè)htm文件，我用文本文檔打開c:\windows\system32\com\iis.htm，發(fā)現(xiàn)里面就是這個(gè) iframe的代碼，而且這個(gè)htm正常情況也是沒有的，于是我把起用文檔頁腳去掉，把這個(gè)htm文件刪了，問題就暫時(shí)解決了（因?yàn)榭赡芟到y(tǒng)還有病毒，所 以算暫時(shí)解決吧）

網(wǎng)上很多人說自己服務(wù)器中了ARP病毒攻擊，IIS尾巴之類的，如果都沒能解決，請(qǐng)注意看下起用文檔這個(gè)地方，希望對(duì)你有幫助。

以前也玩過一段時(shí)間馬，不過好久沒碰這些了，根據(jù)這個(gè)js文件，我找到了很多htm文件，都是病毒網(wǎng)站上的，我下載下來了，有空要好好分析分析，如果閑得慌，給他服務(wù)器掃描掃描，幫他服務(wù)器找找后門：）

剛剛看了下，原來做這種木馬只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代碼就行了(C是系統(tǒng)盤)，比如：

<IIsWebVirtualDirLocation ="/LM/W3SVC/81120797/root"
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默認(rèn)應(yīng)用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"

如上，在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木馬的htm文件就行了，沒什么難度，不過知道原理后，自己不要做破壞就行了。:)a

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。