10秒后自動(dòng)關(guān)閉
IIS另類網(wǎng)頁劫持分析介紹(只劫持404網(wǎng)頁,只劫持手機(jī)用戶,不植入惡意代碼)

最近護(hù)衛(wèi)神運(yùn)維團(tuán)隊(duì)接到一個(gè)客戶反饋,手機(jī)用戶訪問不存在的頁面(狀態(tài)為404)會(huì)被劫持跳轉(zhuǎn)到黃色網(wǎng)站,用電腦訪問不會(huì)被劫持,手機(jī)訪問存在的網(wǎng)頁也不會(huì)被劫持。如下圖:

網(wǎng)站劫持


護(hù)衛(wèi)神馬上分配工程師進(jìn)行處理。

首先我們分析特性,只對(duì)手機(jī)劫持,這不是特別的特性,很多腳本都能實(shí)現(xiàn)。

有特點(diǎn)的是“只對(duì)狀態(tài)為404的不存在網(wǎng)頁進(jìn)行劫持”。立刻就想到是不是篡改了客戶的404設(shè)置,馬上打開IIS查看。

未命�?1.jpg


然而客戶根本就沒有設(shè)置404頁面,系統(tǒng)默認(rèn)的404文件檢查后也沒有發(fā)現(xiàn)問題。

這就奇了怪了,不過已經(jīng)可以確定不是網(wǎng)站自身的問題。

依據(jù)我們以往的經(jīng)驗(yàn),此類劫持往往是黑客在IIS中加載了非法DLL導(dǎo)致,在IIS中有兩處可以植入DLL:ISAPI篩選器和處理程序映射。

馬上進(jìn)行檢查,ISAPI很簡單,就幾條記錄,均沒有問題。再檢查處理程序映射,果然發(fā)現(xiàn)一條非法記錄:

網(wǎng)站劫持腳本

告訴大家一個(gè)小竅門:當(dāng)您不確定哪些是合法DLL時(shí),您先在本地安裝IIS,然后逐個(gè)對(duì)比,就能找出非法DLL了。

馬上刪除這個(gè)DLL,重啟IIS,果然不再劫持了。

原因找到了,接下來需要做的就是如何徹底解決,防止再次被植入DLL。

不要以為刪除就沒事了,黑客能植入一次,就可以植入多次。需要做一些安全防護(hù)才能防止被再次植入。

黑客之所以能植入DLL,一般是通過服務(wù)器漏洞實(shí)施的(也有可能是通過網(wǎng)站漏洞作為跳板入侵的服務(wù)器)。

護(hù)衛(wèi)神的工程師首先給客戶做了一次系統(tǒng)安全加固,找出并修復(fù)服務(wù)器上的所有安全隱患;然偶再部署“護(hù)衛(wèi)神·防入侵系統(tǒng)”,7*24主動(dòng)防御入侵。

只有通過“軟件+服務(wù)”的方式,才能徹底解決服務(wù)器安全問題。

最終客戶再也沒有網(wǎng)站被劫持問題困擾了。