2024-04-30 分类: 网站建设
site:cdcxhl.com发现百度里面多了很多与网站内容无关的内容,糟了网站被挂码了,立即登录服务器查看网站源代码也没有挂马。我们又新建了一个静态的1.html内容打了个123。通过模拟搜索引擎跟浏览器来识别网站发出还是有黑链。模拟网站被黑检测地址:https://stool.chinaz.com/tools/webcheck.aspx
静态的网页1.html内容只有123通过模拟搜索引擎检测出来显示就有问题了。那肯定不是网站被挂马了,网站运行环境是iis就是是服务器的运行环境IIS有问题了。
我又找了下IIS下的其他网站检测了一下,果然都有问题。于是找云服务器IDC服务器商处理,提交了工单,本想偷过懒那只工单回复是云服务器--站点设置--挂马/非法信息/垃圾文件清理(单个站点) 的工单类型,收费100元处理/个站点,同意收费请回复下工单,非常感谢您长期对我司的支持!
我看了下有云服务器上有30个站点都是这个问题,100元一个站点那不要花3000元了,这钱花的有点冤枉。
于是只有自己动手处理了,检测IIS模块
双击打开IIS模块发现有2个异常的YamahaAE4.dll,YamahaAE5.dll
选中它右击》删除,再次模拟搜索引擎检测。对了。
以上是创新互联建站对iis被挂马,删除加载挂马的dll模块恢复网站正常的方法。
当然dll模块名称可能不同具体情况具体分析。
总之IIS被挂马了,大概处理的方法就是看iis模块有没有加载什么不正常的,看iis文件夹日志,文件修改时间来分析处理。
IIS的重要文件夹
C:\inetpub\ : IIS文件的操作历史,日志,默认文件
C:\inetpub\history: IIS配置文件更改历史记录
C:\Windows\System32\inetsrv : IIS文件,模块都在这里(32位)
C:\Windows\SysWOW64\inetsrv : IIS文件,模块都在这里(64位)
C:\Windows\Microsoft.NET\Framework : .NET Framework 的相关文件
C:\Windows\Microsoft.NET\Framework64 : .NET Framework 的相关文件(64位)
C:\inetpub\custerr : IIS的默认错误页面
IIS的重要几个文件
C:\inetpub\wwwroot\iisstart.htm
这个IIS默认基础文件,如果页面上有出现特殊脚本,代码上没有,就要检查下这个文件是否正常,是否有什么其他不良的脚本,需要进行修复
C:\Windows\System32\inetsrv\config\applicationHost.config
这个IIS的配置文件,所有IIS设置项都在这里面。 如果IIS被挂马的话,这个文件肯定被添加了一些新的映射Moludes, 这个文件里重点排查 modules globalModules 这两个节点。看下是否有一些挂马文件被引用。
C:\Windows\System32\inetsrv\MetaBase.xml
这个是IIS的设置文件,有的木马,是在这里设置请求和请求尾追加一些脚本,例如DefaultDocFooter :默认自定义Footer,这里可以指向一个为文件或者地址, EnableDocFooter 是 true, 表示启动自定义页脚,因此如果出现这种现象,就要检查下相关文件
解决方法: 就是找几个重要的文件夹,用时间来搜索,看下近期没有修改的文件,进行排查
如果找到可疑的文件无法删除,可以进入CMD, tasklist /m ***.dll 来查看DLL文件被什么程序占用的
创新互联多年成都网站维护公司下面罗列一些比较常见的iis挂马dll文件有:mscorevt.dll、mscorevts.dll、mscorevt32.dll、mscorevt64.dll、FilterSecurity.dll、FilterSecurity32.dll、FilterSecurity64.dll
网站栏目:iis被挂马,加载了挂马dll导致网站全被挂码,如何处理?
当前网址:https://www.cdcxhl.com/news11/327061.html
成都网站建设公司_创新互联,为您提供网站改版、网站维护、网站收录、标签优化、自适应网站、Google
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容