没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

本文最后更新:2021年12月29日,已超过228天未更新,如果文章内容失效,请留言反馈本站。

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


百度云盘地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块。

注意:删除有可能配置文件里面没有清除,继续检测会报警。注意检查本机模块将其删除,或者关停iis,直接打开编辑iis配置文件去删除。

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:https://mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(10) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 118


  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #86

    谢谢楼主! :hanx: :hanx: :hanx:

    异域风情3天前 16:50回复
  2. #85

    :gz: :lh: 感谢您的评论

    sdasdf4周前 (07-18) 14:44回复
  3. #84

    Microsoft Windows [版本 10.0.17763.107]
    (c) 2018 Microsoft Corporation。保留所有权利。

    C:\Users\Administrator>c:\iis_dll_check.exe
    作者:豫章小站
    from: https://blog.mydns.vip/2415.html

    发现可疑模块,模块名称:PasswordExpiryModule 模块路径 %SystemRoot%\system32\rpcproxy\rpcproxy.dll
    发现可疑模块,模块名称:IISModule 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule.dll
    发现可疑模块,模块名称:IISModule64 模块路径 D:\anquangou\SafeDogSiteIIS\IISModule64.dll
    后两个是安全狗,第一个是啥,正常吗,还是咱库里面没有,还是这个文件应该被感染了 :yiw:

    chinag1个月前 (07-13) 17:02回复
    • 第一个看起来比较可疑,根据名称可能是一个什么代理

      小站站长1个月前 (07-14) 09:18回复
  4. #83

    :kuk: 在哪里下载啊,老弟 下载地址不行发我邮箱吧

    chinag1个月前 (07-13) 16:25回复
  5. #82

    老大收不到,咋回事啊,你的软件。

    wewew1个月前 (07-12) 19:10回复
    • 扫描不出来的话,可能就不是模块挂马

      小站站长1个月前 (07-13) 08:46回复
  6. #81

    老大,祝你幸福安康 :icon_cry:

    wewew1个月前 (07-12) 19:09回复
  7. #80

    被挂了,求个检测工具,自己找的删了导致IIS起不来了。还有,升级到windows2019是不是安全一点

    火民1个月前 (07-01) 20:42回复
    • 你是什么操作系统?2003、2008都不安全,前段时间2012也被爆有较多服务器被入侵,2016、2019目前没听说过

      小站站长1个月前 (07-04) 09:47回复
  8. #79

    好好

    莾打发打发1个月前 (07-01) 20:38回复
  9. #78

    :cy:

    爱车2个月前 (06-30) 17:42回复
  10. #77

    :huaix: :se: :se: 厉害厉害

    对方的2个月前 (06-20) 18:42回复
  11. #76

    +1 很是需要

    hugo2个月前 (06-20) 10:26回复
  12. #75

    怎么下载啊

    hack1232个月前 (06-16) 16:36回复
  13. #74

    谢谢,需要这个工具排查一下

    test1242个月前 (06-16) 00:16回复
  14. #73

    求检测工具

    test2个月前 (06-15) 09:09回复
  15. #72

    :cy: :cy: :cy:

    test2个月前 (06-15) 08:50回复
  16. #71

    :lh:

    12个月前 (06-03) 01:47回复
  17. #70

    :lh: 遇到同样问题,今年感觉格外多这种问题

    老姜3个月前 (05-28) 10:47回复
    • 是的,应该是出现了什么漏洞。

      小站站长3个月前 (05-30) 13:53回复
      • 用工具出现一个问题,检查出结果后还没有看清是那个模块的问题就会马上退出。

        老姜2个月前 (06-02) 18:34回复
        • 打开cmd命令行,在命令行里面执行,这样窗口就不会关闭了

          小站站长2个月前 (06-02) 20:31回复
  18. #69

    服务器一夜之间被挂马,但网站找不到木马文件,怀疑IIS模块挂马

    被挂马了3个月前 (05-27) 11:41回复
    • 是不是win2008或者2012,这段时间被挂全局的比较多 :icon_arrow:

      小站站长3个月前 (05-27) 13:31回复
      • 是2012,服务在模块中加载了木马DLL,应该是服务器权限被拿下了

        小王3个月前 (05-30) 14:04回复
        • 是的,最近2008和2012遭入侵的比较多

          小站站长3个月前 (05-31) 15:57回复
  19. #68

    我要使用一下这个工具检测

    网友甲3个月前 (05-27) 11:39回复
  20. #67

    :cy: :cy: :cy:

    22223个月前 (05-23) 16:16回复
  21. #66

    IIS被挂马了。目前是人肉对比,希望借此攻击一用

    cdlomo3个月前 (05-21) 21:27回复
  22. #65

    为什么总是调用失败~

    牛牛3个月前 (05-10) 22:13回复
  23. #64

    感谢站长提醒!

    werner3个月前 (05-09) 00:40回复
  24. #63

    sdsadasdasd

    asdasd4个月前 (04-28) 22:12回复
  25. #62

    感谢站长提醒!

    野人4个月前 (04-28) 13:04回复
  26. #61

    sdfsfsdffssfdfsfd

    sdaasd4个月前 (04-22) 20:26回复
  27. #60

    谢谢需要这个工具看看

    kingda4个月前 (04-12) 13:41回复
  28. #59

    谢谢,需要这个工具排查一下

    zacent5个月前 (03-28) 21:43回复
  29. #58

    谢谢,需要这个工具排查一下

    helo5个月前 (03-25) 21:20回复
  30. #57

    谢谢,需要这个工具排查一下

    hogdouboy5个月前 (03-25) 21:15回复
  31. #56

    api调取失败。亲爱的作者

    牛牛5个月前 (03-17) 23:33回复
  32. #55

    sdf

    in5个月前 (03-08) 14:18回复
  33. #54

    谢谢,需要这个工具排查一下

    ilms6个月前 (03-02) 13:07回复
  34. #53

    q1111

    ilms6个月前 (03-02) 13:06回复
  35. #52

    看看

    peace0076个月前 (03-01) 21:43回复
  36. #51

    11

    11116个月前 (02-21) 16:59回复
  37. #50

    好人

    好人16个月前 (02-21) 16:56回复
  38. #49

    好人

    忍心无心6个月前 (02-21) 14:56回复
  39. #48

    看一下工具

    4446个月前 (02-21) 10:54回复
  40. #47

    好人好人

    4446个月前 (02-21) 10:45回复
  41. #46

    好人好人

    好人17个月前 (01-27) 14:42回复
  42. #45

    好人

    好人17个月前 (01-27) 14:40回复
  43. #44

    感谢分享 先谢谢了

    小路8个月前 (12-22) 18:07回复
  44. #43

    所答非所问阿发SD

    好人8个月前 (12-11) 17:27回复
  45. #42

    好的

    好人8个月前 (12-11) 17:27回复
  46. #41

    大佬,能发一下工具吗,多谢了

    wpeter8个月前 (12-03) 09:26回复
  47. #40

    遇到一模一样问题

    挂马好烦9个月前 (11-29) 13:08回复
  48. #39

    需要这个~

    阿牛9个月前 (11-26) 13:27回复
  49. #38

    请问软件能发一份吗,遇到同样的问题,查到一个dll 但是这个dll删不掉,提示锁定冲突

    test10个月前 (10-14) 11:42回复
  50. #37

    希望给力

    阿牛哥11个月前 (09-27) 17:10回复
  51. #36

    表哥发一下

    ko11个月前 (09-14) 20:24回复
  52. #35

    看看好用不

    111111个月前 (09-14) 20:13回复
  53. #34

    类似的问题,找不到哪个dll出的问题

    cz12个月前 (09-04) 00:43回复
  54. #33

    类似问题

    cf12个月前 (09-04) 00:32回复
  55. #32

    学习一下

    cf12个月前 (09-04) 00:31回复
  56. #31

    刚好在找这个问题

    CosmosF12个月前 (08-29) 14:18回复
  57. #30

    学习一下

    admin12个月前 (08-23) 09:45回复
  58. #29

    急需这个

    继续这个1年前 (2021-08-01) 18:43回复
  59. #28

    问题出现很久了。这个内容不错

    涛声1年前 (2021-07-25) 12:57回复
  60. #27

    很好,学习学习。

    黔农奉苦丁茶1年前 (2021-07-25) 12:47回复
  61. #26

    kankan

    1111年前 (2021-07-15) 10:48回复
  62. #25

    shishi

    杀毒1年前 (2021-06-25) 12:27回复
  63. #24

    看看,学习一下

    koyongshi1年前 (2021-05-14) 20:16回复
  64. #23

    不错,刚好遇见这种情况

    季叶轻风1年前 (2021-05-06) 09:05回复
  65. #22

    不错,遇到过

    过客1年前 (2021-04-23) 09:25回复
  66. #21

    fafa

    ie1年前 (2021-04-17) 14:11回复
  67. #20

    不错 不错 ,感谢分享~

    阿牛1年前 (2021-04-07) 13:25回复
  68. #19

    good

    AARON1年前 (2021-03-23) 11:18回复
  69. #18

    6666666666

    ekko1年前 (2021-03-03) 15:07回复
  70. #17

    现在挂马太难一

    tcwn2年前 (2021-01-22) 14:51回复
  71. #16

    ddddddddddddd

    a2年前 (2020-12-28) 00:36回复
  72. #15

    学习一下 么么哒

    爱学习的菜鸟2年前 (2020-12-03) 23:03回复
  73. #14

    excellent

    对对对2年前 (2020-10-26) 18:41回复
  74. #13

    谢谢~

    柜橱2年前 (2020-10-16) 12:10回复
  75. #12

    看看吧 谢谢

    看看2年前 (2020-09-21) 18:47回复
  76. #11

    1111111

    看看2年前 (2020-09-21) 18:47回复
  77. #10

    啊啊啊

    aa2年前 (2020-08-31) 15:25回复
  78. #9

    受害了~~我要下载下工具啊~~

    受害了2年前 (2020-08-24) 16:50回复
    • 你得提供正确的邮箱,不然我回复批准了你根本不知道

      小站站长2年前 (2020-08-24) 16:52回复
  79. #8

    厉害。

    笨熊2年前 (2020-08-17) 09:28回复
  80. #7

    我也受到侵扰了

    有一套2年前 (2020-08-15) 13:58回复
  81. #6

    我要下载下工具啊。。晕死。。。我也受到侵扰了

    嘻嘻嘻2年前 (2020-08-07) 18:34回复
  82. #5

    务器里面可能存在后门了,为了安全,建议备份好重要数据重装一

    嘻嘻嘻2年前 (2020-08-07) 18:31回复
  83. #4

    工具的是自己写的1吗

    jkkk2年前 (2020-07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长2年前 (2020-07-31) 11:14回复
  84. #3

    过来学习的

    站长牛掰2年前 (2020-06-12) 10:36回复
  85. #2

    评论一下为了获取方法

    烟锅巴2年前 (2020-05-26) 15:23回复
  86. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy2年前 (2020-03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长2年前 (2020-03-09) 15:34回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏