没有所谓的捷径
一切都是时间最平凡的累积

谨防IIS模块挂马

本文最后更新:2021年4月30日,已超过151天未更新,如果文章内容失效,请留言反馈本站。

今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。谨防IIS模块挂马

谨防IIS模块挂马

以下是可疑模块文件:

MD5:

FilterSecurity32.dll 371cd2a75c9c621117678ffd20ce0a12
FilterSecurity64.dll 80887b65317f2d45761c1c2b96970e0c
mscorevt.dll-32 e60d67348609c11157d5fce3f591b694
mscorevt.dll_64 24ef2ae90c722cebab029de9ffec0bd6

方法二:

下载工具,执行工具来查找对比:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.


备用地址:

温馨提示: 此处内容需要评论本文后才能查看,填写正确邮箱可及时收到回复.

使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块

谨防IIS模块挂马

» 站长码字辛苦,有用点个赞吧,也可以打个
» 若转载请保留本文转自:豫章小站 » 《谨防IIS模块挂马》
» 本文链接地址:https://mydns.vip/2415.html
» 如果喜欢可以: 点此订阅本站 有需要帮助,可以联系小站
赞(5) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 谨防IIS模块挂马
分享到: 更多 (0)

评论 47

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #37

    希望给力

    阿牛哥1天前 17:10回复
  2. #36

    表哥发一下

    ko2周前 (09-14) 20:24回复
  3. #35

    看看好用不

    11112周前 (09-14) 20:13回复
  4. #34

    类似的问题,找不到哪个dll出的问题

    cz4周前 (09-04) 00:43回复
  5. #33

    类似问题

    cf4周前 (09-04) 00:32回复
  6. #32

    学习一下

    cf4周前 (09-04) 00:31回复
  7. #31

    刚好在找这个问题

    CosmosF1个月前 (08-29) 14:18回复
  8. #30

    学习一下

    admin1个月前 (08-23) 09:45回复
  9. #29

    急需这个

    继续这个2个月前 (08-01) 18:43回复
  10. #28

    问题出现很久了。这个内容不错

    涛声2个月前 (07-25) 12:57回复
  11. #27

    很好,学习学习。

    黔农奉苦丁茶2个月前 (07-25) 12:47回复
  12. #26

    kankan

    1113个月前 (07-15) 10:48回复
  13. #25

    shishi

    杀毒3个月前 (06-25) 12:27回复
  14. #24

    看看,学习一下

    koyongshi5个月前 (05-14) 20:16回复
  15. #23

    不错,刚好遇见这种情况

    季叶轻风5个月前 (05-06) 09:05回复
  16. #22

    不错,遇到过

    过客5个月前 (04-23) 09:25回复
  17. #21

    fafa

    ie5个月前 (04-17) 14:11回复
  18. #20

    不错 不错 ,感谢分享~

    阿牛6个月前 (04-07) 13:25回复
  19. #19

    good

    AARON6个月前 (03-23) 11:18回复
  20. #18

    6666666666

    ekko7个月前 (03-03) 15:07回复
  21. #17

    现在挂马太难一

    tcwn8个月前 (01-22) 14:51回复
  22. #16

    ddddddddddddd

    a9个月前 (12-28) 00:36回复
  23. #15

    学习一下 么么哒

    爱学习的菜鸟10个月前 (12-03) 23:03回复
  24. #14

    excellent

    对对对11个月前 (10-26) 18:41回复
  25. #13

    谢谢~

    柜橱12个月前 (10-16) 12:10回复
  26. #12

    看看吧 谢谢

    看看1年前 (2020-09-21) 18:47回复
  27. #11

    1111111

    看看1年前 (2020-09-21) 18:47回复
  28. #10

    啊啊啊

    aa1年前 (2020-08-31) 15:25回复
  29. #9

    受害了~~我要下载下工具啊~~

    受害了1年前 (2020-08-24) 16:50回复
    • 你得提供正确的邮箱,不然我回复批准了你根本不知道

      小站站长1年前 (2020-08-24) 16:52回复
  30. #8

    厉害。

    笨熊1年前 (2020-08-17) 09:28回复
  31. #7

    我也受到侵扰了

    有一套1年前 (2020-08-15) 13:58回复
  32. #6

    我要下载下工具啊。。晕死。。。我也受到侵扰了

    嘻嘻嘻1年前 (2020-08-07) 18:34回复
  33. #5

    务器里面可能存在后门了,为了安全,建议备份好重要数据重装一

    嘻嘻嘻1年前 (2020-08-07) 18:31回复
  34. #4

    工具的是自己写的1吗

    jkkk1年前 (2020-07-30) 21:39回复
    • 是的,但不是我写的,我一个同事写的。

      小站站长1年前 (2020-07-31) 11:14回复
  35. #3

    过来学习的

    站长牛掰1年前 (2020-06-12) 10:36回复
  36. #2

    评论一下为了获取方法

    烟锅巴1年前 (2020-05-26) 15:23回复
  37. #1

    我的网上地址会被加模块,改了去掉,又被加上,去掉又被加上。怎么办?assemblycatiod.dll,authcutd.dll,authcute.dll,programcatiol.dll,WindowsAuthenticatiod.dll,WindowsAuthenticatiol.dll
    加上这后表现就是asp变成下载状态。

    hongdouboy2年前 (2020-03-09) 14:35回复
    • 那说明服务器里面可能存在后门了,为了安全,建议备份好重要数据重装一下,并最好扫描下全盘。

      小站站长2年前 (2020-03-09) 15:34回复

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏