之前老是拼错,“Macfee”or“Mcafee”。
最近Web服务器被挂马,管理这台服务器可是相当的头痛,上面100多个站,全是低端用户,用什么程序的都有,html,asp,asp.net1.1,asp.net2.0,jsp等,网站的后门造成了这次挂马事件。
先贴两张图:
挂马原因分析:一般为sql注入或arp攻击所致。
挂马后症状:
IIS设置被修改(筛选器被乱改,文档栏被改),
System目录里被强制添加文件(如:C:\WINDOWS\system32\inetsrv\IIS_AD.dll
。
为了不做系统,我先后用360,Mcafee,金山贝壳,狂扫不止,但是无法清楚,最后用强制删除与粉碎工具将垃圾文件删除。
最后选择使用Mcafee。
优点,能够自己设置规则。
缺点,不会设置规则的话会很麻烦。
到《丁香鱼(http://www.luckfish.net)》下载你所需要的Mcafee,建议使用企业版,体积小。
在安装完成后,下载一个 《McAfee8.5i规则包》,
这个规则包建议只使用里面的 “访问保护VS自定义保护.reg”,关闭麦咖啡后双击规则文件即可。
然后根据自己的实际情况,启用或删除一些规则即可。
木马来自这个垃圾东西:
原理很简单,就是在IIS应用程序池isapi,特点是解决了win2003假死问题,缩短IIS应用池回收时间。
测试环境WIN2003+IIS
XPSP2+IIS
首先打开GetID.exe获取注册号,运行IIS_AD.exe生成DLL文件,加载到IIS应用池就OK了
有了他服务器任何的一个页面都会有广告代码或者网马代码。
之后修改IIS_AD.ini里的内容:
[IIS_AD]
ADjs=
支持iframe以及script 标签。
==============================================================================