没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

站长整理辛苦,觉得有用评论点个赞吧,若转载请注明出处。如果文章内容失效,请反馈给本站,谢谢!

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块

» 转载请保留出处:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:https://blog.mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站
赞(2) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 8

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy5个月前 (03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长5个月前 (03-09) 15:34回复
  2. #2

    评论一下为了获取方法

    烟锅巴3个月前 (05-26) 15:23回复
  3. #3

    过来学习的

    站长牛掰2个月前 (06-12) 10:36回复
  4. #4

    工具的是自己写的1吗

    jkkk2周前 (07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长1周前 (07-31) 11:14回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏