谨防IIS模块挂马

2019-01-07 13:11:04 分类：安全防护 / 经验分享阅读(7119) 评论(181)

站长整理辛苦，觉得有用评论点个赞吧，若转载请注明出处。如果文章内容失效,请反馈给本站，谢谢!

今天遇到一个很奇怪的挂马问题，查关键词，查数据库等常规方法都没有找到原因，debug断点都放在了程序执行代码最前面还是输出挂马内容，用php探针发现也有代码，所以确认了是iis全局的问题，所以查加载查组件，最终经过比对是iis被黑添加了模块，被添加的名称很具有迷惑性，通常伪装的很像系统模块，遇到查不到是什么地方挂马，可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件：

MD5：

FilterSecurity32.dll	371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll	80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32	e60d67348609c11157d5fce3f591b694
mscorevt.dll_64	24ef2ae90c722cebab029de9ffec0bd6

方法二：

下载工具，执行工具来查找对比：

下载地址：
https://pan.baidu.com/s/1P-C9fOa7noHdKAxn_-_R8w?pwd=6aet

压缩包解压密码：iis_dll_check_mydns_vip 如果什么问题，可以联系小站

使用方法：
到cmd命令行下执行这个文件，会对比原始的iis加载模块，然后列出异常模块。

谨防IIS模块挂马

注意：删除有可能配置文件里面没有清除，继续检测会报警。注意检查本机模块将其删除，或者关停iis，直接打开编辑iis配置文件去删除。

谨防IIS模块挂马

» 站长码字辛苦，有用点个赞吧，也可以打个赏
» 若转载请保留本文转自：豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址：https://blog.mydns.vip/2415.html
» 如果喜欢可以：点此订阅本站有需要帮助，可以联系小站

赞(13) 打赏【豫章小站原创文章】

声明：本站发布的内容（图片、视频和文字）以原创、转载和分享网络内容为主，若涉及侵权请及时告知，将会在第一时间删除，联系邮箱：contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载，或转载时需注明出处：豫章小站 » 谨防IIS模块挂马

标签：iis 安全防护木马病毒经验分享

相关推荐

#143
麻烦发下检测工具

tosshl3个月前 (08-27) 18:45回复
#142
让我下载

tosshl3个月前 (08-27) 18:44回复
#141
非常好

dave3个月前 (08-21) 08:45回复
#140
这个问题怎么解决

11124个月前 (08-01) 04:44回复
- 系统漏洞，或者被入侵了
  
  小站站长4个月前 (08-05) 15:50回复
#139
我要怎么下载这个软件

feixin4个月前 (08-01) 04:41回复
#138
试试，遇到了这种问题

tasdse4个月前 (08-01) 04:38回复
#137
非常好

2799772@qq.com4个月前 (07-25) 11:29回复
#136
试试，遇到了这种问题

shanhe6个月前 (05-16) 15:54回复
#135

sanlang7个月前 (05-09) 00:24回复
#134
网站被挂马了，求扫描工具

tom7个月前 (04-26) 13:56回复
#133
下载扫描工具

求助7个月前 (04-26) 12:58回复
#132
求助

SSDUKK7个月前 (04-26) 08:42回复
#131
网站被挂马了，求解决

sjz7个月前 (04-25) 17:54回复
#130
学习学习

进来看看7个月前 (04-15) 16:45回复
#129

貂蝉8个月前 (03-31) 19:22回复
#128
网站被挂马了，求解决

马可波罗9个月前 (03-02) 15:37回复
- 可以用工具扫描试下
  
  小站站长9个月前 (03-05) 16:04回复
#127
下载一下检工具

意思9个月前 (02-21) 16:53回复
#126
被挂了，求个检测工具，自己找的删了导致IIS起不来了。还有，升级到windows2019是不是安全一点

suman11个月前 (12-24) 11:09回复
- 能升级就升级吧
  
  小站站长11个月前 (12-25) 08:43回复
#125
大起大落

11年前 (2023-11-23) 20:42回复
#124
正需要比对工具

尘土1年前 (2023-11-17) 23:02回复
#123
很好的解决办法

yu1年前 (2023-11-17) 22:40回复
#122

啊你1年前 (2023-11-15) 15:25回复
#121

农村娃1年前 (2023-11-07) 21:33回复
#120
学习一下

士大夫1年前 (2023-07-29) 01:27回复
#119
是否是

看是1年前 (2023-07-29) 01:26回复
#118
山地车

看是1年前 (2023-07-29) 01:25回复
#117
这篇文章非常的使用那，学习学习

admin1年前 (2023-07-25) 11:12回复
#116
这篇文章非常的使用那，学习学习

d'd1年前 (2023-07-25) 11:10回复
#115
被挂马了，来学习一下

adam1年前 (2023-07-24) 20:25回复
#114
感谢

凄凄切切1年前 (2023-06-21) 16:39回复
#113
www

凄凄切切1年前 (2023-06-21) 16:31回复
#112

kkks1年前 (2023-06-16) 20:45回复
#111

hack2年前 (2023-05-20) 00:15回复
#110
感谢提供！！！！

1112年前 (2023-05-18) 17:12回复
#109

1112年前 (2023-05-18) 17:11回复
#108
学习学习

xuxu2年前 (2023-04-13) 09:55回复
#107
这篇文章非常的使用那，学习学习

xuxu2年前 (2023-04-13) 09:54回复
#106
学习一下

roey2年前 (2023-03-23) 11:07回复
#105
学习学习

chen2年前 (2023-03-19) 23:57回复
#104
学习一下。

pop2年前 (2023-03-15) 13:28回复
#103
学习来了，感谢分享！

huang2年前 (2023-03-01) 19:01回复
#102
看看

120g2年前 (2023-02-01) 19:13回复
#101

test2年前 (2022-12-21) 11:22回复
#100
看看

xaf22年前 (2022-12-20) 03:18回复
#99
arp反向iis插件不支持查询

66826672年前 (2022-12-19) 15:03回复
#98
怎么下载看不到了之前回复过

66826672年前 (2022-12-19) 14:57回复
#97
iis被挂马急用！！！

呼啦圈2年前 (2022-12-16) 04:30回复
#96

asdasd2年前 (2022-12-16) 04:27回复
#95

struggle2年前 (2022-12-01) 21:09回复
#94
这个真好用

管理员2年前 (2022-11-23) 15:55回复
#93

webweb2年前 (2022-11-16) 10:03回复
- 小站站长2年前 (2022-11-16) 15:56回复
#92
这个真好用

天赐2年前 (2022-11-04) 11:46回复
- 小站站长2年前 (2022-11-06) 09:12回复
#91

admin2年前 (2022-10-21) 11:34回复
#90
ds

11112年前 (2022-09-21) 16:34回复
#89

12年前 (2022-08-31) 19:20回复
#88
每次都要找台正常的服务器对比，真的好麻烦，有了工具就方便多了，感谢楼主

lwjacky2年前 (2022-08-23) 11:08回复
- 小站站长2年前 (2022-08-23) 15:03回复
#87
1111

1112年前 (2022-08-17) 10:02回复
#86
谢谢楼主！

异域风情2年前 (2022-08-11) 16:50回复
- 小站站长2年前 (2022-08-11) 16:51回复
#85
感谢您的评论

sdasdf2年前 (2022-07-18) 14:44回复
#84
Microsoft Windows [版本 10.0.17763.107]
(c) 2018 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>c:\iis_dll_check.exe
作者:豫章小站
from: https://blog.mydns.vip/2415.html

发现可疑模块，模块名称:PasswordExpiryModule 模块路径 %SystemRoot%\system32\rpcproxy\rpcproxy.dll
发现可疑模块，模块名称:IISModule 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule.dll
发现可疑模块，模块名称:IISModule64 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule64.dll
后两个是安全狗，第一个是啥，正常吗，还是咱库里面没有，还是这个文件应该被感染了

chinag2年前 (2022-07-13) 17:02回复
- 第一个看起来比较可疑，根据名称可能是一个什么代理
  
  小站站长2年前 (2022-07-14) 09:18回复
#83
在哪里下载啊，老弟下载地址不行发我邮箱吧

chinag2年前 (2022-07-13) 16:25回复
- 现在可以下载了
  
  小站站长2年前 (2022-07-14) 09:18回复
#82
老大收不到，咋回事啊，你的软件。

wewew2年前 (2022-07-12) 19:10回复
- 扫描不出来的话，可能就不是模块挂马
  
  小站站长2年前 (2022-07-13) 08:46回复
#81
老大，祝你幸福安康

wewew2年前 (2022-07-12) 19:09回复
- 牛皮了
  
  小站站长2年前 (2022-07-13) 08:46回复
#80
被挂了，求个检测工具，自己找的删了导致IIS起不来了。还有，升级到windows2019是不是安全一点

火民2年前 (2022-07-01) 20:42回复
- 你是什么操作系统？2003、2008都不安全，前段时间2012也被爆有较多服务器被入侵，2016、2019目前没听说过
  
  小站站长2年前 (2022-07-04) 09:47回复
  - 2008的被挂过，后来换成2012的，这次又被搞了
    
    莾打发打发2年前 (2022-07-09) 21:51回复
  - 谢谢你，挺管用的
    
    莾打发打发2年前 (2022-07-09) 22:24回复
    - 不客气
      
      小站站长2年前 (2022-07-11) 08:43回复
#79
好好

莾打发打发2年前 (2022-07-01) 20:38回复
#78

爱车2年前 (2022-06-30) 17:42回复
#77
厉害厉害

对方的2年前 (2022-06-20) 18:42回复
#76
+1 很是需要

hugo2年前 (2022-06-20) 10:26回复
#75
怎么下载啊

hack1232年前 (2022-06-16) 16:36回复
- 可以下载了
  
  小站站长2年前 (2022-06-17) 09:23回复
#74
谢谢，需要这个工具排查一下

test1242年前 (2022-06-16) 00:16回复
#73
求检测工具

test2年前 (2022-06-15) 09:09回复
- 可以刷新页面自行下载
  
  小站站长2年前 (2022-06-15) 16:00回复
#72

test2年前 (2022-06-15) 08:50回复
- 小站站长2年前 (2022-06-15) 08:51回复
#71

13年前 (2022-06-03) 01:47回复
#70
遇到同样问题，今年感觉格外多这种问题

老姜3年前 (2022-05-28) 10:47回复
- 是的，应该是出现了什么漏洞。
  
  小站站长3年前 (2022-05-30) 13:53回复
  - 用工具出现一个问题，检查出结果后还没有看清是那个模块的问题就会马上退出。
    
    老姜3年前 (2022-06-02) 18:34回复
    - 打开cmd命令行，在命令行里面执行，这样窗口就不会关闭了
      
      小站站长3年前 (2022-06-02) 20:31回复
#69
服务器一夜之间被挂马，但网站找不到木马文件，怀疑IIS模块挂马

被挂马了3年前 (2022-05-27) 11:41回复
- 是不是win2008或者2012，这段时间被挂全局的比较多
  
  小站站长3年前 (2022-05-27) 13:31回复
  - 是2012，服务在模块中加载了木马DLL，应该是服务器权限被拿下了
    
    小王3年前 (2022-05-30) 14:04回复
    - 是的，最近2008和2012遭入侵的比较多
      
      小站站长3年前 (2022-05-31) 15:57回复
#68
我要使用一下这个工具检测

网友甲3年前 (2022-05-27) 11:39回复
#67

22223年前 (2022-05-23) 16:16回复
#66
IIS被挂马了。目前是人肉对比，希望借此攻击一用

cdlomo3年前 (2022-05-21) 21:27回复
- 希望对你有帮助
  
  小站站长3年前 (2022-05-25) 12:44回复
#65
为什么总是调用失败~

牛牛3年前 (2022-05-10) 22:13回复
- cmd命令行方式运行
  
  小站站长3年前 (2022-05-12) 15:35回复
#64
感谢站长提醒！

werner3年前 (2022-05-09) 00:40回复
#63
sdsadasdasd

asdasd3年前 (2022-04-28) 22:12回复
#62
感谢站长提醒！

野人3年前 (2022-04-28) 13:04回复
#61
sdfsfsdffssfdfsfd

sdaasd3年前 (2022-04-22) 20:26回复
#60
谢谢需要这个工具看看

kingda3年前 (2022-04-12) 13:41回复
#59
谢谢，需要这个工具排查一下

zacent3年前 (2022-03-28) 21:43回复
#58
谢谢，需要这个工具排查一下

helo3年前 (2022-03-25) 21:20回复
#57
谢谢，需要这个工具排查一下

hogdouboy3年前 (2022-03-25) 21:15回复
#56
api调取失败。亲爱的作者

牛牛3年前 (2022-03-17) 23:33回复
- 重新下载
  
  小站站长3年前 (2022-03-21) 13:39回复
#55
sdf

in3年前 (2022-03-08) 14:18回复
#54
谢谢，需要这个工具排查一下

ilms3年前 (2022-03-02) 13:07回复
#53
q1111

ilms3年前 (2022-03-02) 13:06回复
#52
看看

peace0073年前 (2022-03-01) 21:43回复
#51
11

11113年前 (2022-02-21) 16:59回复
#50
好人

好人13年前 (2022-02-21) 16:56回复
#49
好人

忍心无心3年前 (2022-02-21) 14:56回复
#48
看一下工具

4443年前 (2022-02-21) 10:54回复
#47
好人好人

4443年前 (2022-02-21) 10:45回复
#46
好人好人

好人13年前 (2022-01-27) 14:42回复
#45
好人

好人13年前 (2022-01-27) 14:40回复
#44
感谢分享先谢谢了

小路3年前 (2021-12-22) 18:07回复
#43
所答非所问阿发SD

好人3年前 (2021-12-11) 17:27回复
#42
好的

好人3年前 (2021-12-11) 17:27回复
#41
大佬，能发一下工具吗，多谢了

wpeter3年前 (2021-12-03) 09:26回复
- 自己去下载下
  
  小站站长3年前 (2021-12-03) 14:54回复
#40
遇到一模一样问题

挂马好烦3年前 (2021-11-29) 13:08回复
#39
需要这个~

阿牛3年前 (2021-11-26) 13:27回复
#38
请问软件能发一份吗，遇到同样的问题，查到一个dll 但是这个dll删不掉，提示锁定冲突

test3年前 (2021-10-14) 11:42回复
#37
希望给力

阿牛哥3年前 (2021-09-27) 17:10回复
#36
表哥发一下

ko3年前 (2021-09-14) 20:24回复
#35
看看好用不

11113年前 (2021-09-14) 20:13回复
#34
类似的问题，找不到哪个dll出的问题

cz3年前 (2021-09-04) 00:43回复
#33
类似问题

cf3年前 (2021-09-04) 00:32回复
#32
学习一下

cf3年前 (2021-09-04) 00:31回复
#31
刚好在找这个问题

CosmosF3年前 (2021-08-29) 14:18回复
#30
学习一下

admin3年前 (2021-08-23) 09:45回复
#29
急需这个

继续这个3年前 (2021-08-01) 18:43回复
#28
问题出现很久了。这个内容不错

涛声3年前 (2021-07-25) 12:57回复
#27
很好，学习学习。

黔农奉苦丁茶3年前 (2021-07-25) 12:47回复
#26
kankan

1113年前 (2021-07-15) 10:48回复
#25
shishi

杀毒3年前 (2021-06-25) 12:27回复
#24
看看，学习一下

koyongshi4年前 (2021-05-14) 20:16回复
#23
不错，刚好遇见这种情况

季叶轻风4年前 (2021-05-06) 09:05回复
#22
不错，遇到过

过客4年前 (2021-04-23) 09:25回复
#21
fafa

ie4年前 (2021-04-17) 14:11回复
#20
不错不错，感谢分享~

阿牛4年前 (2021-04-07) 13:25回复
#19
good

AARON4年前 (2021-03-23) 11:18回复
#18
6666666666

ekko4年前 (2021-03-03) 15:07回复
#17
现在挂马太难一

tcwn4年前 (2021-01-22) 14:51回复
- 是的，挂马很疯狂
  
  小站站长4年前 (2021-01-23) 13:58回复
#16
ddddddddddddd

a4年前 (2020-12-28) 00:36回复
- 你想干啥？ -_-||
  
  小站站长4年前 (2020-12-28) 09:40回复
#15
学习一下么么哒

爱学习的菜鸟4年前 (2020-12-03) 23:03回复
#14
excellent

对对对4年前 (2020-10-26) 18:41回复
#13
谢谢~

柜橱4年前 (2020-10-16) 12:10回复
- 赞
  
  小站站长4年前 (2020-10-19) 08:53回复
#12
看看吧谢谢

看看4年前 (2020-09-21) 18:47回复
- 赞
  
  小站站长4年前 (2020-09-22) 09:17回复
#11
1111111

看看4年前 (2020-09-21) 18:47回复
#10
啊啊啊

aa4年前 (2020-08-31) 15:25回复
#9
受害了~~我要下载下工具啊~~

受害了4年前 (2020-08-24) 16:50回复
- 你得提供正确的邮箱，不然我回复批准了你根本不知道
  
  小站站长4年前 (2020-08-24) 16:52回复
#8
厉害。

笨熊4年前 (2020-08-17) 09:28回复
#7
我也受到侵扰了

有一套4年前 (2020-08-15) 13:58回复
- 快点去检查下吧
  
  小站站长4年前 (2020-08-17) 09:29回复
#6
我要下载下工具啊。。晕死。。。我也受到侵扰了

嘻嘻嘻4年前 (2020-08-07) 18:34回复
#5
务器里面可能存在后门了，为了安全，建议备份好重要数据重装一

嘻嘻嘻4年前 (2020-08-07) 18:31回复
#4
工具的是自己写的1吗

jkkk4年前 (2020-07-30) 21:39回复
- 是的，但不是我写的，我一个同事写的。
  
  小站站长4年前 (2020-07-31) 11:14回复
#3
过来学习的

站长牛掰5年前 (2020-06-12) 10:36回复
- 欢迎
  
  小站站长5年前 (2020-06-12) 14:08回复
#2
评论一下为了获取方法

烟锅巴5年前 (2020-05-26) 15:23回复
- 牛
  
  小站站长5年前 (2020-05-26) 15:24回复
#1
我的网上地址会被加模块，改了去掉，又被加上，去掉又被加上。怎么办？assemblycatiod.dll，authcutd.dll，authcute.dll，programcatiol.dll，WindowsAuthenticatiod.dll，WindowsAuthenticatiol.dll
加上这后表现就是asp变成下载状态。

hongdouboy5年前 (2020-03-09) 14:35回复
- 那说明服务器里面可能存在后门了，为了安全，建议备份好重要数据重装一下，并最好扫描下全盘。
  
  小站站长5年前 (2020-03-09) 15:34回复