最近在管理自己负责的一个服务器和网站时,发现网站有异常,具体情况如下:
我们的服务器用的是阿里云的云服务器,最近阿里云老是通知我们你的网站有违规URL屏蔽处理通知,登录服务器查看,根本没
有通知中的文件夹和文件,一直处在蒙的状态中,给阿里云提工单,对方反馈你的网站中就是有相关的违规URL,请尽快处理;我自己访
问那些存在的网址的,网址状态是200,页面显示的是空白;
我先是ping这个网站域名,发现域名的解析IP是对的,排查DNS劫持;
然后扫描了网站中的 漏洞也没有发现任何的情况,网站服务器安装的安全狗和360也没有报任何异常,
查看网站的文件夹和相关账号都是正常的,登录日志也是正常的;排查网站访问日志,也没有阿里云报的这些违规的URL;
持续苦恼排查了N天,没有任何结果,阿里云依然持续报 你的网站有违规URL屏蔽处理通知,要疯了!!!!!!!
后来部门领导给我推荐了一个工具D盾,下载下来后扫描整个网站,发现了一个漏洞:
下载D盾(链接:https://pan.baidu.com/s/12-ckqC6g-VTTwvtXeagI2Q 提取码:y8b4)对着站点一把梭。
检测到一个一句话后门,访问路径:http://**********/Hot/back.aspx
经过IIS日志查询访问IP,均为香港IP和某存活检测蜘蛛,备份后门文件后删除。
但是删除了后门文件后,违规的URl依然可以返回200状态,怀疑是系统文件或者IIS相关文件被篡改,到这里基本确定是IIS上有程序
作了URL处理。
从爱站网的SEO关键词发线挂马详情:从百度搜索进入,即可看到非法信息。
整个过程瞬间清晰了,这不就简单的url劫持么,判断来路、路径,再选择性返回菠菜信息。常规套路。
看着朋友圈,回顾了整个过程:
1、使用百度蜘蛛UA访问带app关键字的的URL会被挂马
2、无挂马文件
到这里,基本确定是加载的dll扩展出了问题。
建立一个站点,指向IIS默认站点路径,修改百度UA后访问/appxxx验证,的确出现了卖菜信息。
点开啊D,进程查看,定位到web进程,w3wp.exe
查:
查看IIS全局设置中isapi筛选器和模块设置,在模块功能下找到了真凶。
找到问题后,处理就比较简单,右键删除模块,然后在整个IIS站点配置本机模块功能下,选择刚才删除的模块名,删除、重启IIS即可。
访问app路径验证,终于出现了久违的找不到对象提示。
简单分析:
通过在测试服务器上加载dll并触发事件,抓包查看到如下流量:
在条件满足(路径带app字样且UA为蜘蛛)情况下,IIS进程会请求http://sc.xxxbt.com/xxx 路径,并返回请求到的内容。
到此,网站的URL恢复正常,挂马不复存在。
查杀后门,临时恢复业务,择日重新部署新系统并加固。
网站异常一定要从网站的服务上分析相关的漏洞,看看有没有不安全的服务在运行;
