记一次应急响应


现象

pc打开站点正常,移动设备打开某些目录会自动跳转到BC站点。

排查

一开始以为是通过在js中嵌套恶意代码实现跳转,后将站点目录切换到空白目录下还是出现同样的问题。由此推断出不是代码出现问题,应该是中间件(IIS)出现了问题。由于对IIS不够熟悉不知道哪里出现了问题,通过搜索引擎发现有人遇到了同样的问题最后是排查出是IIS被添加了恶意模块相关链接

解决办法

下面说一下我的排查思路。
打开iis的高级设置在模块中查看iis加载了那些dll模块。



排查方法有三种:
第一种:可以按照前面的相关链接来排查,但是比较耗费时间。
第二种:可以看每个dll文件的创建时间和位置。找到时间比较异常的dll或者最新创建的dll。
第三种:检查文件的数字签名,不是微软签名的一律按木马来处理。
那如何来验证呢?
可以在iis里面将对于的dll取消加载(不是删除dll),但是要记住对应的dll和配置名字万一取消错了可以重新加载来恢复。最后通过浏览器来验证是否还跳转,不跳转就说明找对dll了。

声明:john'blog|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 记一次应急响应


欢迎来到脚本小子的博客