这两天,服务器发生了一件非常奇怪的事情。
所有的图片都无法打开。确认路径什么的都是没有问题的。
最后经常多次排查发现,如果图片的文件名以20**开头的,都显示不了,如果是其它格式的图片,那就没问题。
所以,把目光集中在全局处理的问题上。
同时,也检查到,无论是新旧站点,都会存在相同的问题。
那极有可能是IIS的根配置文件applicationHost.config出现了问题。
打开配置文件,一头雾水,看不清各个配置文件的关系。
好吧,找一个正式的配置文件,用BC对比一下。
发现有一个非常可疑的地方:
<add name="HttpEventModule" image="%windir%System32inetsrvhttpevt.dll" preCondition="bitness32" /> <add name="IISLoggingModule" image="%windir%System32inetsrvhttpevt.dll" preCondition="bitness64" />
这玩意httpevt.dll直接在正常的配置文件里,是搜不到的。
好,先干掉。(注意备份啊)
下面还有一个,也干掉。
<add name="HttpEventModule" preCondition="bitness32" /> <add name="IISLoggingModule" preCondition="bitness64" />
重新IIS,站点正常了,问题修复。
问题是,放狗搜了一下相关的关键词,一直没有找到什么东西。感觉是被放了木马,又无从下手。先把文件干掉吧。
看样子,不像是病毒,估计是一个规则处理类。
文件名称 :httpevt.dll
文件大小 :332288 byte
文件类型 :PE32+ executable for MS Windows (DLL) (GUI) Mono/.Net assembly
MD5:a8c4c4691cb007424509d035a64d619c
SHA1:329c649cfd7ea1ce12c02300863d5eb3e52fda3c
SHA256:e9ecdb8260c365e87538b9467aee2a105262eb080f9d246217e65c64eff7c776
SSDEEP:6144:OnYSIu7l35/sX0LYQPFeNmutKcjMHwOgohrg7CYmc:0fIm/sELRTcAQOgot