10秒后自動關閉
IIS另類網(wǎng)頁劫持分析介紹(只劫持404網(wǎng)頁,只劫持手機用戶,不植入惡意代碼)

最近護衛(wèi)神運維團隊接到一個客戶反饋,手機用戶訪問不存在的頁面(狀態(tài)為404)會被劫持跳轉到黃色網(wǎng)站,用電腦訪問不會被劫持,手機訪問存在的網(wǎng)頁也不會被劫持。如下圖:

2.png


護衛(wèi)神馬上分配工程師進行處理。

首先我們分析特性,只對手機劫持,這不是特別的特性,很多腳本都能實現(xiàn)。

有特點的是“只對狀態(tài)為404的不存在網(wǎng)頁進行劫持”。立刻就想到是不是篡改了客戶的404設置,馬上打開IIS查看。

未命�?1.jpg


然而客戶根本就沒有設置404頁面,系統(tǒng)默認的404文件檢查后也沒有發(fā)現(xiàn)問題。

這就奇了怪了,不過已經(jīng)可以確定不是網(wǎng)站自身的問題。

依據(jù)我們以往的經(jīng)驗,此類劫持往往是黑客在IIS中加載了非法DLL導致,在IIS中有兩處可以植入DLL:ISAPI篩選器和處理程序映射。

馬上進行檢查,ISAPI很簡單,就幾條記錄,均沒有問題。再檢查處理程序映射,果然發(fā)現(xiàn)一條非法記錄:

2.jpg

告訴大家一個小竅門:當您不確定哪些是合法DLL時,您先在本地安裝IIS,然后逐個對比,就能找出非法DLL了。

馬上刪除這個DLL,重啟IIS,果然不再劫持了。

原因找到了,接下來需要做的就是如何徹底解決,防止再次被植入DLL。

不要以為刪除就沒事了,黑客能植入一次,就可以植入多次。需要做一些安全防護才能防止被再次植入。

黑客之所以能植入DLL,一般是通過服務器漏洞實施的(也有可能是通過網(wǎng)站漏洞作為跳板入侵的服務器)。

護衛(wèi)神的工程師首先給客戶做了一次人工安全加固,找出并修復服務器上的所有安全隱患;然偶再部署“護衛(wèi)神·入侵防護系統(tǒng)”,7*24主動式防御入侵。

只有通過“軟件+服務”的方式,才能徹底解決服務器安全問題。

最終客戶再也沒有被劫持困擾了。