高级挂马手段解密让马无处可逃
相信挂马很多站长都已不陌生,最常见的就是在网站底部挂上恶意代码或黑链,这种还是比较好清理的,只需要删除代码修补漏洞即可,可有一种比较高级的挂马方式不知道你有无了解,查看源码也是网页中插入了恶意代码或黑链,可查遍所有网站文件都不见插入的代码,到底是怎么回事呢?
一:我们知道服务器加载网站文件通过是根据IIS中metabase.xml文件设置来加载的,那么如果遇到上述情况请检查下metabase.xml文件是否有异常:
常见位置:c:\windows\system32\inetsrv\metabase.xml
ConnectionTimeout="120"
ContentIndexed="TRUE"
DefaultDoc="Default.htm,Default.asp,index.htm,Default.aspx,index.asp,index.html,index.php"
DefaultDocFooter="file&#58C:\WINDOWS\Web\index.htm"
DirBrowseFlags="DirBrowseShowDate | DirBrowseShowTime | DirBrowseShowSize | DirBrowseShowExtension | DirBrowseShowLongDate | EnableDefaultDoc"
DownlevelAdminInstance="1"
EnableDocFooter="TRUE"
HttpCustomHeaders="X-Powered-By: ASP.NET"
HttpErrors="400,*,FILE,C:\WINDOWS\help\iisHelp\common\400.htm
401,1,FILE,C:\WINDOWS\help\iisHelp\common\401-1.htm
401,2,FILE,C:\WINDOWS\help\iisHelp\common\401-2.htm
401,3,FILE,C:\WINDOWS\help\iisHelp\common\401-3.htm
其中DefaultDocFooter="file&#58C:\WINDOWS\Web\index.htm"为加载所有网站底部内容,这里可以插入恶意链接或黑链代码<a href=http://www.studstu.com target=_blank>www.studstu.com</a>,这样在加载网站内容时就会把这文件里的内容统统加入到网站源码中了,但在网站文件里是找不到的。这种高级挂马方式就是IIS挂马手段了。当然,调用文件也可能位置是:c:\inetpub\wwwroot\iisstart.htm。
二:另外介绍一种高级留后门方式:自动收集服务器帐号密码,当然前提是已经拿到服务器权限。
常见后门文件位置:c:\windows\system32\boot.dat ,利用工具:自动收集VPS管理员帐号密码(咻咻牌3389记录管理密码ASP收信版+显IP)。
这样,只要你每次登陆服务器,你的帐号密码都会被记录下来然后上传到指定邮箱,即使你再怎么修改服务器密码也无济于事的原因。
三:我以前碰到过一些服务器被黑状况,不知道你的是不是这样:
1、在本地安全策略-安全设置-本地策略-安全选项-帐户:重命名系统管理员帐户-被修改成了GUEST。。然后GUEST就拥有了系统管理员权限,禁用GUEST就连系统管理员帐户一起禁用了。GUEST帐户也删除不了。
2、在防火墙里例外了一个可疑文件,强行打开了一个端口。
3、系统里的WLONTIFY.DLL文件被替换成了WMINOTIFY.DLL.
4、被植入了LCX.EXE文件。
5、在C:\WINDOWS\生成了BOOT.DAT文件,记录每次远程登陆所用的帐号密码。
6、网站被植入了木马下载链接。
7、注册表里生成了这么个东东:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify
后来虽然这些东西都清除了,但是还不放心,直接重做系统了。
暂时整理这些,不知道对你有没有帮助。