最近在管理自己負責的一個服務器和網站時,發現網站有異常,具體情況如下:
我們的服務器用的是阿里雲的雲服務器,最近阿里雲老是通知我們你的網站有違規URL屏蔽處理通知,登錄服務器查看,根本沒
有通知中的文件夾和文件,一直處在蒙的狀態中,給阿里雲提工單,對方反饋你的網站中就是有相關的違規URL,請儘快處理;我自己訪
問那些存在的網址的,網址狀態是200,頁面顯示的是空白;
我先是ping這個網站域名,發現域名的解析IP是對的,排查DNS劫持;
然後掃描了網站中的 漏洞也沒有發現任何的情況,網站服務器安裝的安全狗和360也沒有報任何異常,
查看網站的文件夾和相關賬號都是正常的,登錄日誌也是正常的;排查網站訪問日誌,也沒有阿里雲報的這些違規的URL;
持續苦惱排查了N天,沒有任何結果,阿里雲依然持續報 你的網站有違規URL屏蔽處理通知,要瘋了!!!!!!!
後來部門領導給我推薦了一個工具D盾,下載下來後掃描整個網站,發現了一個漏洞:
下載D盾(鏈接:https://pan.baidu.com/s/12-ckqC6g-VTTwvtXeagI2Q 提取碼:y8b4)對着站點一把梭。
檢測到一個一句話後門,訪問路徑:http://**********/Hot/back.aspx
經過IIS日誌查詢訪問IP,均爲香港IP和某存活檢測蜘蛛,備份後門文件後刪除。
但是刪除了後門文件後,違規的URl依然可以返回200狀態,懷疑是系統文件或者IIS相關文件被篡改,到這裏基本確定是IIS上有程序
作了URL處理。
從愛站網的SEO關鍵詞發線掛馬詳情:從百度搜索進入,即可看到非法信息。
整個過程瞬間清晰了,這不就簡單的url劫持麼,判斷來路、路徑,再選擇性返回菠菜信息。常規套路。
看着朋友圈,回顧了整個過程:
1、使用百度蜘蛛UA訪問帶app關鍵字的的URL會被掛馬
2、無掛馬文件
到這裏,基本確定是加載的dll擴展出了問題。
建立一個站點,指向IIS默認站點路徑,修改百度UA後訪問/appxxx驗證,的確出現了賣菜信息。
點開啊D,進程查看,定位到web進程,w3wp.exe
查:
查看IIS全局設置中isapi篩選器和模塊設置,在模塊功能下找到了真兇。
找到問題後,處理就比較簡單,右鍵刪除模塊,然後在整個IIS站點配置本機模塊功能下,選擇剛纔刪除的模塊名,刪除、重啓IIS即可。
訪問app路徑驗證,終於出現了久違的找不到對象提示。
簡單分析:
通過在測試服務器上加載dll並觸發事件,抓包查看到如下流量:
在條件滿足(路徑帶app字樣且UA爲蜘蛛)情況下,IIS進程會請求http://sc.xxxbt.com/xxx 路徑,並返回請求到的內容。
到此,網站的URL恢復正常,掛馬不復存在。
查殺後門,臨時恢復業務,擇日重新部署新系統並加固。
網站異常一定要從網站的服務上分析相關的漏洞,看看有沒有不安全的服務在運行;