没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

站长整理辛苦,觉得有用评论点个赞吧,若转载请注明出处。如果文章内容失效,请反馈给本站,谢谢!

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块

谨防IIS模块挂马

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:http://mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(5) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 38

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #28

    问题出现很久了。这个内容不错

    涛声4天前 12:57回复
  2. #27

    很好,学习学习。

    黔农奉苦丁茶4天前 12:47回复
  3. #26

    kankan

    1112周前 (07-15) 10:48回复
  4. #25

    shishi

    杀毒1个月前 (06-25) 12:27回复
  5. #24

    看看,学习一下

    koyongshi3个月前 (05-14) 20:16回复
  6. #23

    不错,刚好遇见这种情况

    季叶轻风3个月前 (05-06) 09:05回复
  7. #22

    不错,遇到过

    过客3个月前 (04-23) 09:25回复
  8. #21

    fafa

    ie3个月前 (04-17) 14:11回复
  9. #20

    不错 不错 ,感谢分享~

    阿牛4个月前 (04-07) 13:25回复
  10. #19

    good

    AARON4个月前 (03-23) 11:18回复
  11. #18

    6666666666

    ekko5个月前 (03-03) 15:07回复
  12. #17

    现在挂马太难一

    tcwn6个月前 (01-22) 14:51回复
  13. #16

    ddddddddddddd

    a7个月前 (12-28) 00:36回复
  14. #15

    学习一下 么么哒

    爱学习的菜鸟8个月前 (12-03) 23:03回复
  15. #14

    excellent

    对对对9个月前 (10-26) 18:41回复
  16. #13

    谢谢~

    柜橱10个月前 (10-16) 12:10回复
  17. #12

    看看吧 谢谢

    看看10个月前 (09-21) 18:47回复
  18. #11

    1111111

    看看10个月前 (09-21) 18:47回复
  19. #10

    啊啊啊

    aa11个月前 (08-31) 15:25回复
  20. #9

    受害了~~我要下载下工具啊~~

    受害了11个月前 (08-24) 16:50回复
    • 你得提供正确的邮箱,不然我回复批准了你根本不知道

      小站站长11个月前 (08-24) 16:52回复
  21. #8

    厉害。

    笨熊12个月前 (08-17) 09:28回复
  22. #7

    我也受到侵扰了

    有一套12个月前 (08-15) 13:58回复
  23. #6

    我要下载下工具啊。。晕死。。。我也受到侵扰了

    嘻嘻嘻12个月前 (08-07) 18:34回复
  24. #5

    务器里面可能存在后门了,为了安全,建议备份好重要数据重装一

    嘻嘻嘻12个月前 (08-07) 18:31回复
  25. #4

    工具的是自己写的1吗

    jkkk1年前 (2020-07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长1年前 (2020-07-31) 11:14回复
  26. #3

    过来学习的

    站长牛掰1年前 (2020-06-12) 10:36回复
  27. #2

    评论一下为了获取方法

    烟锅巴1年前 (2020-05-26) 15:23回复
  28. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy1年前 (2020-03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长1年前 (2020-03-09) 15:34回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏