没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

本文最后更新:2021年12月29日,已超过811天未更新,如果文章内容失效,请留言反馈本站。

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


百度云盘地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块。

注意:删除有可能配置文件里面没有清除,继续检测会报警。注意检查本机模块将其删除,或者关停iis,直接打开编辑iis配置文件去删除。

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:https://mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(11) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 165


  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #128

    网站被挂马了,求解决

    马可波罗2周前 (03-02) 15:37回复
  2. #127

    下载一下检工具

    意思4周前 (02-21) 16:53回复
  3. #126

    被挂了,求个检测工具,自己找的删了导致IIS起不来了。还有,升级到windows2019是不是安全一点

    suman3个月前 (12-24) 11:09回复
  4. #125

    :gz: 大起大落

    14个月前 (11-23) 20:42回复
  5. #124

    正需要比对工具 :qiang:

    尘土4个月前 (11-17) 23:02回复
  6. #123

    很好的解决办法 :qt: :qt: :qt:

    yu4个月前 (11-17) 22:40回复
  7. #122

    :ws: :ws: :ws: :ws: :ws: :ws:

    啊你4个月前 (11-15) 15:25回复
  8. #121

    :shui: :shui: :shui: :shui: :shui:

    农村娃4个月前 (11-07) 21:33回复
  9. #120

    学习一下

    士大夫8个月前 (07-29) 01:27回复
  10. #119

    是否是

    看是8个月前 (07-29) 01:26回复
  11. #118

    山地车

    看是8个月前 (07-29) 01:25回复
  12. #117

    这篇文章非常的使用那,学习学习

    admin8个月前 (07-25) 11:12回复
  13. #116

    这篇文章非常的使用那,学习学习

    d'd8个月前 (07-25) 11:10回复
  14. #115

    被挂马了,来学习一下

    adam8个月前 (07-24) 20:25回复
  15. #114

    感谢 :cy: :cy:

    凄凄切切9个月前 (06-21) 16:39回复
  16. #113

    www

    凄凄切切9个月前 (06-21) 16:31回复
  17. #112

    :icon_eek: :icon_eek: :icon_eek: :icon_eek: :icon_eek:

    kkks9个月前 (06-16) 20:45回复
  18. #111

    :se: :se: :se: :se:

    hack10个月前 (05-20) 00:15回复
  19. #110

    感谢提供!!!!

    11110个月前 (05-18) 17:12回复
  20. #109

    :se: :se: :se: :se:

    11110个月前 (05-18) 17:11回复
  21. #108

    学习学习

    xuxu11个月前 (04-13) 09:55回复
  22. #107

    这篇文章非常的使用那,学习学习

    xuxu11个月前 (04-13) 09:54回复
  23. #106

    学习一下

    roey1年前 (2023-03-23) 11:07回复
  24. #105

    :cy: 学习学习

    chen1年前 (2023-03-19) 23:57回复
  25. #104

    学习一下。 :gz:

    pop1年前 (2023-03-15) 13:28回复
  26. #103

    学习来了,感谢分享! :qiang:

    huang1年前 (2023-03-01) 19:01回复
  27. #102

    看看 :hanx:

    120g1年前 (2023-02-01) 19:13回复
  28. #101

    :qiang:

    test1年前 (2022-12-21) 11:22回复
  29. #100

    看看

    xaf21年前 (2022-12-20) 03:18回复
  30. #99

    arp反向iis插件不支持 查询

    66826671年前 (2022-12-19) 15:03回复
  31. #98

    怎么下载看不到了 之前回复过

    66826671年前 (2022-12-19) 14:57回复
  32. #97

    iis被挂马 急用!!!

    呼啦圈1年前 (2022-12-16) 04:30回复
  33. #96

    :icon_eek: :icon_eek: :icon_eek: :icon_eek:

    asdasd1年前 (2022-12-16) 04:27回复
  34. #95

    :cy:

    struggle1年前 (2022-12-01) 21:09回复
  35. #94

    这个真好用

    管理员1年前 (2022-11-23) 15:55回复
  36. #93

    :qiang: :qiang: :qiang: :qiang:

    webweb1年前 (2022-11-16) 10:03回复
  37. #92

    这个真好用

    天赐1年前 (2022-11-04) 11:46回复
  38. #91

    :ws: :ws: :ws:

    admin1年前 (2022-10-21) 11:34回复
  39. #90

    ds :lh: :lh: :lh: :lh: :lh: :lh:

    11112年前 (2022-09-21) 16:34回复
  40. #89

    :wx: :se:

    12年前 (2022-08-31) 19:20回复
  41. #88

    每次都要找台正常的服务器对比,真的好麻烦,有了工具就方便多了,感谢楼主

    lwjacky2年前 (2022-08-23) 11:08回复
  42. #87

    1111

    1112年前 (2022-08-17) 10:02回复
  43. #86

    谢谢楼主! :hanx: :hanx: :hanx:

    异域风情2年前 (2022-08-11) 16:50回复
  44. #85

    :gz: :lh: 感谢您的评论

    sdasdf2年前 (2022-07-18) 14:44回复
  45. #84

    Microsoft Windows [版本 10.0.17763.107]
    (c) 2018 Microsoft Corporation。保留所有权利。

    C:\Users\Administrator>c:\iis_dll_check.exe
    作者:豫章小站
    from: https://blog.mydns.vip/2415.html

    发现可疑模块,模块名称:PasswordExpiryModule 模块路径 %SystemRoot%\system32\rpcproxy\rpcproxy.dll
    发现可疑模块,模块名称:IISModule 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule.dll
    发现可疑模块,模块名称:IISModule64 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule64.dll
    后两个是安全狗,第一个是啥,正常吗,还是咱库里面没有,还是这个文件应该被感染了 :yiw:

    chinag2年前 (2022-07-13) 17:02回复
    • 第一个看起来比较可疑,根据名称可能是一个什么代理

      小站站长2年前 (2022-07-14) 09:18回复
  46. #83

    :kuk: 在哪里下载啊,老弟 下载地址不行发我邮箱吧

    chinag2年前 (2022-07-13) 16:25回复
  47. #82

    老大收不到,咋回事啊,你的软件。

    wewew2年前 (2022-07-12) 19:10回复
    • 扫描不出来的话,可能就不是模块挂马

      小站站长2年前 (2022-07-13) 08:46回复
  48. #81

    老大,祝你幸福安康 :icon_cry:

    wewew2年前 (2022-07-12) 19:09回复
  49. #80

    被挂了,求个检测工具,自己找的删了导致IIS起不来了。还有,升级到windows2019是不是安全一点

    火民2年前 (2022-07-01) 20:42回复
    • 你是什么操作系统?2003、2008都不安全,前段时间2012也被爆有较多服务器被入侵,2016、2019目前没听说过

      小站站长2年前 (2022-07-04) 09:47回复
  50. #79

    好好

    莾打发打发2年前 (2022-07-01) 20:38回复
  51. #78

    :cy:

    爱车2年前 (2022-06-30) 17:42回复
  52. #77

    :huaix: :se: :se: 厉害厉害

    对方的2年前 (2022-06-20) 18:42回复
  53. #76

    +1 很是需要

    hugo2年前 (2022-06-20) 10:26回复
  54. #75

    怎么下载啊

    hack1232年前 (2022-06-16) 16:36回复
  55. #74

    谢谢,需要这个工具排查一下

    test1242年前 (2022-06-16) 00:16回复
  56. #73

    求检测工具

    test2年前 (2022-06-15) 09:09回复
  57. #72

    :cy: :cy: :cy:

    test2年前 (2022-06-15) 08:50回复
  58. #71

    :lh:

    12年前 (2022-06-03) 01:47回复
  59. #70

    :lh: 遇到同样问题,今年感觉格外多这种问题

    老姜2年前 (2022-05-28) 10:47回复
    • 是的,应该是出现了什么漏洞。

      小站站长2年前 (2022-05-30) 13:53回复
      • 用工具出现一个问题,检查出结果后还没有看清是那个模块的问题就会马上退出。

        老姜2年前 (2022-06-02) 18:34回复
        • 打开cmd命令行,在命令行里面执行,这样窗口就不会关闭了

          小站站长2年前 (2022-06-02) 20:31回复
  60. #69

    服务器一夜之间被挂马,但网站找不到木马文件,怀疑IIS模块挂马

    被挂马了2年前 (2022-05-27) 11:41回复
    • 是不是win2008或者2012,这段时间被挂全局的比较多 :icon_arrow:

      小站站长2年前 (2022-05-27) 13:31回复
      • 是2012,服务在模块中加载了木马DLL,应该是服务器权限被拿下了

        小王2年前 (2022-05-30) 14:04回复
        • 是的,最近2008和2012遭入侵的比较多

          小站站长2年前 (2022-05-31) 15:57回复
  61. #68

    我要使用一下这个工具检测

    网友甲2年前 (2022-05-27) 11:39回复
  62. #67

    :cy: :cy: :cy:

    22222年前 (2022-05-23) 16:16回复
  63. #66

    IIS被挂马了。目前是人肉对比,希望借此攻击一用

    cdlomo2年前 (2022-05-21) 21:27回复
  64. #65

    为什么总是调用失败~

    牛牛2年前 (2022-05-10) 22:13回复
  65. #64

    感谢站长提醒!

    werner2年前 (2022-05-09) 00:40回复
  66. #63

    sdsadasdasd

    asdasd2年前 (2022-04-28) 22:12回复
  67. #62

    感谢站长提醒!

    野人2年前 (2022-04-28) 13:04回复
  68. #61

    sdfsfsdffssfdfsfd

    sdaasd2年前 (2022-04-22) 20:26回复
  69. #60

    谢谢需要这个工具看看

    kingda2年前 (2022-04-12) 13:41回复
  70. #59

    谢谢,需要这个工具排查一下

    zacent2年前 (2022-03-28) 21:43回复
  71. #58

    谢谢,需要这个工具排查一下

    helo2年前 (2022-03-25) 21:20回复
  72. #57

    谢谢,需要这个工具排查一下

    hogdouboy2年前 (2022-03-25) 21:15回复
  73. #56

    api调取失败。亲爱的作者

    牛牛2年前 (2022-03-17) 23:33回复
  74. #55

    sdf

    in2年前 (2022-03-08) 14:18回复
  75. #54

    谢谢,需要这个工具排查一下

    ilms2年前 (2022-03-02) 13:07回复
  76. #53

    q1111

    ilms2年前 (2022-03-02) 13:06回复
  77. #52

    看看

    peace0072年前 (2022-03-01) 21:43回复
  78. #51

    11

    11112年前 (2022-02-21) 16:59回复
  79. #50

    好人

    好人12年前 (2022-02-21) 16:56回复
  80. #49

    好人

    忍心无心2年前 (2022-02-21) 14:56回复
  81. #48

    看一下工具

    4442年前 (2022-02-21) 10:54回复
  82. #47

    好人好人

    4442年前 (2022-02-21) 10:45回复
  83. #46

    好人好人

    好人12年前 (2022-01-27) 14:42回复
  84. #45

    好人

    好人12年前 (2022-01-27) 14:40回复
  85. #44

    感谢分享 先谢谢了

    小路2年前 (2021-12-22) 18:07回复
  86. #43

    所答非所问阿发SD

    好人2年前 (2021-12-11) 17:27回复
  87. #42

    好的

    好人2年前 (2021-12-11) 17:27回复
  88. #41

    大佬,能发一下工具吗,多谢了

    wpeter2年前 (2021-12-03) 09:26回复
  89. #40

    遇到一模一样问题

    挂马好烦2年前 (2021-11-29) 13:08回复
  90. #39

    需要这个~

    阿牛2年前 (2021-11-26) 13:27回复
  91. #38

    请问软件能发一份吗,遇到同样的问题,查到一个dll 但是这个dll删不掉,提示锁定冲突

    test2年前 (2021-10-14) 11:42回复
  92. #37

    希望给力

    阿牛哥3年前 (2021-09-27) 17:10回复
  93. #36

    表哥发一下

    ko3年前 (2021-09-14) 20:24回复
  94. #35

    看看好用不

    11113年前 (2021-09-14) 20:13回复
  95. #34

    类似的问题,找不到哪个dll出的问题

    cz3年前 (2021-09-04) 00:43回复
  96. #33

    类似问题

    cf3年前 (2021-09-04) 00:32回复
  97. #32

    学习一下

    cf3年前 (2021-09-04) 00:31回复
  98. #31

    刚好在找这个问题

    CosmosF3年前 (2021-08-29) 14:18回复
  99. #30

    学习一下

    admin3年前 (2021-08-23) 09:45回复
  100. #29

    急需这个

    继续这个3年前 (2021-08-01) 18:43回复
  101. #28

    问题出现很久了。这个内容不错

    涛声3年前 (2021-07-25) 12:57回复
  102. #27

    很好,学习学习。

    黔农奉苦丁茶3年前 (2021-07-25) 12:47回复
  103. #26

    kankan

    1113年前 (2021-07-15) 10:48回复
  104. #25

    shishi

    杀毒3年前 (2021-06-25) 12:27回复
  105. #24

    看看,学习一下

    koyongshi3年前 (2021-05-14) 20:16回复
  106. #23

    不错,刚好遇见这种情况

    季叶轻风3年前 (2021-05-06) 09:05回复
  107. #22

    不错,遇到过

    过客3年前 (2021-04-23) 09:25回复
  108. #21

    fafa

    ie3年前 (2021-04-17) 14:11回复
  109. #20

    不错 不错 ,感谢分享~

    阿牛3年前 (2021-04-07) 13:25回复
  110. #19

    good

    AARON3年前 (2021-03-23) 11:18回复
  111. #18

    6666666666

    ekko3年前 (2021-03-03) 15:07回复
  112. #17

    现在挂马太难一

    tcwn3年前 (2021-01-22) 14:51回复
  113. #16

    ddddddddddddd

    a3年前 (2020-12-28) 00:36回复
  114. #15

    学习一下 么么哒

    爱学习的菜鸟3年前 (2020-12-03) 23:03回复
  115. #14

    excellent

    对对对3年前 (2020-10-26) 18:41回复
  116. #13

    谢谢~

    柜橱3年前 (2020-10-16) 12:10回复
  117. #12

    看看吧 谢谢

    看看4年前 (2020-09-21) 18:47回复
  118. #11

    1111111

    看看4年前 (2020-09-21) 18:47回复
  119. #10

    啊啊啊

    aa4年前 (2020-08-31) 15:25回复
  120. #9

    受害了~~我要下载下工具啊~~

    受害了4年前 (2020-08-24) 16:50回复
    • 你得提供正确的邮箱,不然我回复批准了你根本不知道

      小站站长4年前 (2020-08-24) 16:52回复
  121. #8

    厉害。

    笨熊4年前 (2020-08-17) 09:28回复
  122. #7

    我也受到侵扰了

    有一套4年前 (2020-08-15) 13:58回复
  123. #6

    我要下载下工具啊。。晕死。。。我也受到侵扰了

    嘻嘻嘻4年前 (2020-08-07) 18:34回复
  124. #5

    务器里面可能存在后门了,为了安全,建议备份好重要数据重装一

    嘻嘻嘻4年前 (2020-08-07) 18:31回复
  125. #4

    工具的是自己写的1吗

    jkkk4年前 (2020-07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长4年前 (2020-07-31) 11:14回复
  126. #3

    过来学习的

    站长牛掰4年前 (2020-06-12) 10:36回复
  127. #2

    评论一下为了获取方法

    烟锅巴4年前 (2020-05-26) 15:23回复
  128. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy4年前 (2020-03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长4年前 (2020-03-09) 15:34回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏