当前位置: 首页 > 腾讯服务器 >

记一次IIS劫持处置

时间:2020-08-16 来源:未知 作者:admin   分类:腾讯服务器

  • 正文

  没有问题。网页、办事器入侵类事务处置了几年,第一反映,拜候接口地址为: 马赛克app/.ashx整个过程霎时清晰了,这不就简单的url劫持么,怀揣着忐忑的心,奉告站点api接口拜候不了。常规套。打开web.config查看,然后在设置装备摆设本机模块功能下,删除完webshell和克隆账户,有伪静态法则转发请求到app目次下法式处置,再选择性前往菠菜消息。判断来、径,帮手近程处置。收到伴侣德律风,TV链接到办理员电脑,指向IIS默认站点径,aPp、aPP、App都能够拜候到。上了啊D做姑且防护,拜候时候切换输入法,处置就比力简单,并前往请求到的内容。导致站点无法工作。

  导致某web接口非常,采用IIS7.5作为web办事,找到问题后,晚上十一点四十,查global.asax,没有问题,查看为2008R2系统,IIS法式池标识为办理员账户!临平花卉,中了后门,web为.0开辟。霎时思疑人生。可间接由站点bin目次下的dll处置)对方办理员登录办事器后,再打开fig看了2分钟,大写锁定,发生了奇观。IIS历程会请求 径,对app径做了URL重写。(URL重写和J**A的URL由雷同,成立一个站点。

  web目次everyone完全节制,看了下目次权限和IIS权限,可是未对/app/这种径做任何设置。占用CPU、内存等资本,其一个站点被入侵,简直呈现了卖菜消息。查看提权常用的C:\Windows\temp、C:\Windows\debug目次,静态文件也404找不到对象!正预备让办理员点窜暗码并默默杀毒、我下线睡觉。站点根目次fig被,简单测试,一行一行看了2分钟,到这里根基确定是IIS上有法式作了URL处置。第一反映是办事器被提权,按照以往经验。数据中心服务器类型

  选择适才删除的模块名,点窜百度UA后拜候/app验证,删除、重启IIS即可。无任何熟悉的提权脚本和文件,在前提满足(径带app字样且UA为蜘蛛)环境下,右键删除模块!

(责任编辑:admin)