Windowsサーバー2012のIISは、プロセスをハイジャック

その他 2019-11-11 18:48:43 訪問数: null

:ダウンロードFilemonのツールを使用する必要がFileMonのを、Windowsのv7.04のために

先週の金曜日の夜の顧客は応答を受信して​​いる、このサイトは非常にゆっくりと開き、まだ開くことができるオープンBaiduの検索情報を、賭けがたくさんあります。最初の反応は、サイトが馬にリンクしていることです。サイトはBaiduのスナップショットプログラムから開くと賭けサイトのソースに裁判官を追加する必要があります。

だから、ダウンロードすることにより、サーバーのセキュリティの犬WebShellKiller検出し、その後、手動でJSのダイナミックおよび関連する文書をチェックするためのツールは、トロイの木馬の痕跡を発見していません。自身の問題IIS疑い。

その後、再び百度から分析は、Webページを開いて、あなたがBaiduのスナップショットを開いていない場合は、直接404エラーを開くためのURLを入力して、存在しなかったファイルサーバのフォルダ内の多くのサイトを発見したスナップショット。サーバーのサイトフォルダにこのディレクトリの証拠が存在しない、何も仮想ディレクトリがありません。

 

Baiduのウェブマスターツールにより、分析および診断クローラを介してサーバー上のすべてのWebサイトには、コードの一部を追加しました:

 

これは証明問題がテスト環境をセットアップするので、近くのすべてのサイトにはない単一のサイト、です

 

ウェブサイトのディレクトリファイル

プラスのRefererヘッダーます。https://www.baidu.com

ヘッダ解析[ヘッダ参照に別の部位を説明するために】

 

 

 

URL 404エラーへの直接アクセス

 

 計画は、次のIISの再テストを再インストールするので、疑わしいかもしれ違法IISが、すぐに回復するために、モジュールをロードしました。

 

バックアップサイトをIIS(ソースファイルをバックアップしません)

 

APPCMDコマンドの場所:C:\ WINDOWS \ SYSTEM32 \ INETSRV

バックアップコマンド:Appcmd.exeの追加バックアップbackupname(バックアップ名)

バックアップファイルのアドレス(このファイルは他の場所にコピーすることができます)

リストのバックアップ:

Appcmd.exeのリストのバックアップ

バックアップの復元

バックアップを復元する場合、IISが動作して停止し、サーバの状態を書き換えます。コンフィギュレーションファイルが書き換えられたら、その後、再起動をIIS。偽:あなたが停止すると、IISを再起動しない場合は、/ストップを使用することができます。このように、あなたは適切なタイミングで停止することができ、手動でIISを実行して、手動でIISを再起動されます

偽:Appcmd.exeのバックアップ/back.name:"XXX」/停止を復元

Appcmd.exeの「バックアップ/backup.name:"XXXを復元

バックアップを削除

Appcmd.exeのreleteバックアップXXX

良いバックアップした後、次のフォルダを削除:(とき、削除、IIS、手動で削除する必要が自動的に削除されません、それは)削除されたものをバックアップすることが最善です

C:\ WINDOWS \ System32に\ inetsrvに
C:\ WINDOWS \ SYSWOW64 \ inetsrvに
C:\のinetpub

 

IISを削除するために参照してください。https://jingyan.baidu.com/article/bad08e1e85e98009c951216e.html

削除し、Windowsを削除するには、削除機能を実行した後、再び別のプラスを追加します。添加した後、デフォルト要求テストサイト、および問題はない、それは何の問題は、IISいないかを示して

だから、再度サイトに問題が百度を通じて、見て、問題を置くことができ、サイトの構成が疑われるBaiduのスナップショットを、ハイジャックAPPCMDコマンドでテストをIISバックアップを復元し、最終的にはプロセス・サーバーの監視を見つけますツールは、FILEMON

このツールは、イベント処理手順指定されたプロセスを監視することができます

ダウンロードした後、フィルタ(CTRL + Lショートカットは))のみw3wp.exeのプロセスを表示するように設定されています

 

パス(経路)の設定はhot2019パス名(含まれている)をし、次に[OK]をクリックします(追加)[追加]をクリックします含み

要求を分析した後、tests.szqj.comサーバに要求を送信し、サーバは、この推測を介して、同一のIPアドレス要求を送信した場合は、その後、ファイアウォールを介してシールド、シールドホウレンソウ情報要求リターンデータでありますIPは、その後、ソースによってBaiduは、テストデータではありません。次のステップは、このW3WPを分析することです。exeファイルの問題は、IPデータを要求する方法で、かつ継続する、で探しています。

 

 

私は、バックアップIISを削除した後 

おすすめ

転載: www.cnblogs.com/fogwang/p/11833022.html
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com