没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

本文最后更新:2021年12月29日,已超过333天未更新,如果文章内容失效,请留言反馈本站。

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


百度云盘地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块。

注意:删除有可能配置文件里面没有清除,继续检测会报警。注意检查本机模块将其删除,或者关停iis,直接打开编辑iis配置文件去删除。

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:https://blog.mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(10) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 129


  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #94

    这个真好用

    管理员5天前 15:55回复
  2. #93

    :qiang: :qiang: :qiang: :qiang:

    webweb2周前 (11-16) 10:03回复
  3. #92

    这个真好用

    天赐3周前 (11-04) 11:46回复
  4. #91

    :ws: :ws: :ws:

    admin1个月前 (10-21) 11:34回复
  5. #90

    ds :lh: :lh: :lh: :lh: :lh: :lh:

    11112个月前 (09-21) 16:34回复
  6. #89

    :wx: :se:

    13个月前 (08-31) 19:20回复
  7. #88

    每次都要找台正常的服务器对比,真的好麻烦,有了工具就方便多了,感谢楼主

    lwjacky3个月前 (08-23) 11:08回复
  8. #87

    1111

    1113个月前 (08-17) 10:02回复
  9. #86

    谢谢楼主! :hanx: :hanx: :hanx:

    异域风情4个月前 (08-11) 16:50回复
  10. #85

    :gz: :lh: 感谢您的评论

    sdasdf4个月前 (07-18) 14:44回复
  11. #84

    Microsoft Windows [版本 10.0.17763.107]
    (c) 2018 Microsoft Corporation。保留所有权利。

    C:\Users\Administrator>c:\iis_dll_check.exe
    作者:豫章小站
    from: https://blog.mydns.vip/2415.html

    发现可疑模块,模块名称:PasswordExpiryModule 模块路径 %SystemRoot%\system32\rpcproxy\rpcproxy.dll
    发现可疑模块,模块名称:IISModule 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule.dll
    发现可疑模块,模块名称:IISModule64 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule64.dll
    后两个是安全狗,第一个是啥,正常吗,还是咱库里面没有,还是这个文件应该被感染了 :yiw:

    chinag5个月前 (07-13) 17:02回复
    • 第一个看起来比较可疑,根据名称可能是一个什么代理

      小站站长5个月前 (07-14) 09:18回复
  12. #83

    :kuk: 在哪里下载啊,老弟 下载地址不行发我邮箱吧

    chinag5个月前 (07-13) 16:25回复
  13. #82

    老大收不到,咋回事啊,你的软件。

    wewew5个月前 (07-12) 19:10回复
    • 扫描不出来的话,可能就不是模块挂马

      小站站长5个月前 (07-13) 08:46回复
  14. #81

    老大,祝你幸福安康 :icon_cry:

    wewew5个月前 (07-12) 19:09回复
  15. #80

    被挂了,求个检测工具,自己找的删了导致IIS起不来了。还有,升级到windows2019是不是安全一点

    火民5个月前 (07-01) 20:42回复
    • 你是什么操作系统?2003、2008都不安全,前段时间2012也被爆有较多服务器被入侵,2016、2019目前没听说过

      小站站长5个月前 (07-04) 09:47回复
  16. #79

    好好

    莾打发打发5个月前 (07-01) 20:38回复
  17. #78

    :cy:

    爱车5个月前 (06-30) 17:42回复
  18. #77

    :huaix: :se: :se: 厉害厉害

    对方的5个月前 (06-20) 18:42回复
  19. #76

    +1 很是需要

    hugo5个月前 (06-20) 10:26回复
  20. #75

    怎么下载啊

    hack1235个月前 (06-16) 16:36回复
  21. #74

    谢谢,需要这个工具排查一下

    test1246个月前 (06-16) 00:16回复
  22. #73

    求检测工具

    test6个月前 (06-15) 09:09回复
  23. #72

    :cy: :cy: :cy:

    test6个月前 (06-15) 08:50回复
  24. #71

    :lh:

    16个月前 (06-03) 01:47回复
  25. #70

    :lh: 遇到同样问题,今年感觉格外多这种问题

    老姜6个月前 (05-28) 10:47回复
    • 是的,应该是出现了什么漏洞。

      小站站长6个月前 (05-30) 13:53回复
      • 用工具出现一个问题,检查出结果后还没有看清是那个模块的问题就会马上退出。

        老姜6个月前 (06-02) 18:34回复
        • 打开cmd命令行,在命令行里面执行,这样窗口就不会关闭了

          小站站长6个月前 (06-02) 20:31回复
  26. #69

    服务器一夜之间被挂马,但网站找不到木马文件,怀疑IIS模块挂马

    被挂马了6个月前 (05-27) 11:41回复
    • 是不是win2008或者2012,这段时间被挂全局的比较多 :icon_arrow:

      小站站长6个月前 (05-27) 13:31回复
      • 是2012,服务在模块中加载了木马DLL,应该是服务器权限被拿下了

        小王6个月前 (05-30) 14:04回复
        • 是的,最近2008和2012遭入侵的比较多

          小站站长6个月前 (05-31) 15:57回复
  27. #68

    我要使用一下这个工具检测

    网友甲6个月前 (05-27) 11:39回复
  28. #67

    :cy: :cy: :cy:

    22226个月前 (05-23) 16:16回复
  29. #66

    IIS被挂马了。目前是人肉对比,希望借此攻击一用

    cdlomo6个月前 (05-21) 21:27回复
  30. #65

    为什么总是调用失败~

    牛牛7个月前 (05-10) 22:13回复
  31. #64

    感谢站长提醒!

    werner7个月前 (05-09) 00:40回复
  32. #63

    sdsadasdasd

    asdasd7个月前 (04-28) 22:12回复
  33. #62

    感谢站长提醒!

    野人7个月前 (04-28) 13:04回复
  34. #61

    sdfsfsdffssfdfsfd

    sdaasd7个月前 (04-22) 20:26回复
  35. #60

    谢谢需要这个工具看看

    kingda8个月前 (04-12) 13:41回复
  36. #59

    谢谢,需要这个工具排查一下

    zacent8个月前 (03-28) 21:43回复
  37. #58

    谢谢,需要这个工具排查一下

    helo8个月前 (03-25) 21:20回复
  38. #57

    谢谢,需要这个工具排查一下

    hogdouboy8个月前 (03-25) 21:15回复
  39. #56

    api调取失败。亲爱的作者

    牛牛9个月前 (03-17) 23:33回复
  40. #55

    sdf

    in9个月前 (03-08) 14:18回复
  41. #54

    谢谢,需要这个工具排查一下

    ilms9个月前 (03-02) 13:07回复
  42. #53

    q1111

    ilms9个月前 (03-02) 13:06回复
  43. #52

    看看

    peace0079个月前 (03-01) 21:43回复
  44. #51

    11

    11119个月前 (02-21) 16:59回复
  45. #50

    好人

    好人19个月前 (02-21) 16:56回复
  46. #49

    好人

    忍心无心9个月前 (02-21) 14:56回复
  47. #48

    看一下工具

    4449个月前 (02-21) 10:54回复
  48. #47

    好人好人

    4449个月前 (02-21) 10:45回复
  49. #46

    好人好人

    好人110个月前 (01-27) 14:42回复
  50. #45

    好人

    好人110个月前 (01-27) 14:40回复
  51. #44

    感谢分享 先谢谢了

    小路11个月前 (12-22) 18:07回复
  52. #43

    所答非所问阿发SD

    好人12个月前 (12-11) 17:27回复
  53. #42

    好的

    好人12个月前 (12-11) 17:27回复
  54. #41

    大佬,能发一下工具吗,多谢了

    wpeter1年前 (2021-12-03) 09:26回复
  55. #40

    遇到一模一样问题

    挂马好烦1年前 (2021-11-29) 13:08回复
  56. #39

    需要这个~

    阿牛1年前 (2021-11-26) 13:27回复
  57. #38

    请问软件能发一份吗,遇到同样的问题,查到一个dll 但是这个dll删不掉,提示锁定冲突

    test1年前 (2021-10-14) 11:42回复
  58. #37

    希望给力

    阿牛哥1年前 (2021-09-27) 17:10回复
  59. #36

    表哥发一下

    ko1年前 (2021-09-14) 20:24回复
  60. #35

    看看好用不

    11111年前 (2021-09-14) 20:13回复
  61. #34

    类似的问题,找不到哪个dll出的问题

    cz1年前 (2021-09-04) 00:43回复
  62. #33

    类似问题

    cf1年前 (2021-09-04) 00:32回复
  63. #32

    学习一下

    cf1年前 (2021-09-04) 00:31回复
  64. #31

    刚好在找这个问题

    CosmosF1年前 (2021-08-29) 14:18回复
  65. #30

    学习一下

    admin1年前 (2021-08-23) 09:45回复
  66. #29

    急需这个

    继续这个1年前 (2021-08-01) 18:43回复
  67. #28

    问题出现很久了。这个内容不错

    涛声1年前 (2021-07-25) 12:57回复
  68. #27

    很好,学习学习。

    黔农奉苦丁茶1年前 (2021-07-25) 12:47回复
  69. #26

    kankan

    1111年前 (2021-07-15) 10:48回复
  70. #25

    shishi

    杀毒1年前 (2021-06-25) 12:27回复
  71. #24

    看看,学习一下

    koyongshi2年前 (2021-05-14) 20:16回复
  72. #23

    不错,刚好遇见这种情况

    季叶轻风2年前 (2021-05-06) 09:05回复
  73. #22

    不错,遇到过

    过客2年前 (2021-04-23) 09:25回复
  74. #21

    fafa

    ie2年前 (2021-04-17) 14:11回复
  75. #20

    不错 不错 ,感谢分享~

    阿牛2年前 (2021-04-07) 13:25回复
  76. #19

    good

    AARON2年前 (2021-03-23) 11:18回复
  77. #18

    6666666666

    ekko2年前 (2021-03-03) 15:07回复
  78. #17

    现在挂马太难一

    tcwn2年前 (2021-01-22) 14:51回复
  79. #16

    ddddddddddddd

    a2年前 (2020-12-28) 00:36回复
  80. #15

    学习一下 么么哒

    爱学习的菜鸟2年前 (2020-12-03) 23:03回复
  81. #14

    excellent

    对对对2年前 (2020-10-26) 18:41回复
  82. #13

    谢谢~

    柜橱2年前 (2020-10-16) 12:10回复
  83. #12

    看看吧 谢谢

    看看2年前 (2020-09-21) 18:47回复
  84. #11

    1111111

    看看2年前 (2020-09-21) 18:47回复
  85. #10

    啊啊啊

    aa2年前 (2020-08-31) 15:25回复
  86. #9

    受害了~~我要下载下工具啊~~

    受害了2年前 (2020-08-24) 16:50回复
    • 你得提供正确的邮箱,不然我回复批准了你根本不知道

      小站站长2年前 (2020-08-24) 16:52回复
  87. #8

    厉害。

    笨熊2年前 (2020-08-17) 09:28回复
  88. #7

    我也受到侵扰了

    有一套2年前 (2020-08-15) 13:58回复
  89. #6

    我要下载下工具啊。。晕死。。。我也受到侵扰了

    嘻嘻嘻2年前 (2020-08-07) 18:34回复
  90. #5

    务器里面可能存在后门了,为了安全,建议备份好重要数据重装一

    嘻嘻嘻2年前 (2020-08-07) 18:31回复
  91. #4

    工具的是自己写的1吗

    jkkk2年前 (2020-07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长2年前 (2020-07-31) 11:14回复
  92. #3

    过来学习的

    站长牛掰2年前 (2020-06-12) 10:36回复
  93. #2

    评论一下为了获取方法

    烟锅巴3年前 (2020-05-26) 15:23回复
  94. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy3年前 (2020-03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长3年前 (2020-03-09) 15:34回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏