相信掛馬很多站長都已不陌生,最常見的就是在網站底部掛上惡意代碼或黑鏈�����,這種還是比較好清理的����,只需要刪除代碼修補漏洞即可,可有一種比較高級的掛馬方式不知道你有無了解,查看源碼也是網頁中插入了惡意代碼或黑鏈,可查遍所有網站文件都不見插入的代碼��,到底是怎么回事呢����?
一:我們知道服務器加載網站文件通過是根據IIS中metabase.xml文件設置來加載的,那么如果遇到上述情況請檢查下metabase.xml文件是否有異常:
常見位置:c:\windows\system32\inetsrv\metabase.xml
ConnectionTimeout="120"
ContentIndexed="TRUE"
DefaultDoc="Default.htm,Default.asp,index.htm,Default.aspx,index.asp,index.html,index.php"
DefaultDocFooter="file&#58C:\WINDOWS\Web\index.htm"
DirBrowseFlags="DirBrowseShowDate
| DirBrowseShowTime | DirBrowseShowSize | DirBrowseShowExtension |
DirBrowseShowLongDate |
EnableDefaultDoc"
DownlevelAdminInstance="1"
EnableDocFooter="TRUE"
HttpCustomHeaders="X-Powered-By:
ASP.NET"
HttpErrors="400,*,FILE,C:\WINDOWS\help\iisHelp\common\400.htm
401,1,FILE,C:\WINDOWS\help\iisHelp\common\401-1.htm
401,2,FILE,C:\WINDOWS\help\iisHelp\common\401-2.htm
401,3,FILE,C:\WINDOWS\help\iisHelp\common\401-3.htm
其中DefaultDocFooter="file&#58C:\WINDOWS\Web\index.htm"為加載所有網站底部內容�,這里可以插入惡意鏈接或黑鏈代碼<a
href=http://www.studstu.com target=_blank>www.studstu.com</a>�����,這樣在加載網站內容時就會把這文件里的內容統統加入到網站源碼中了,但在網站文件里是找不到的。這種高級掛馬方式就是IIS掛馬手段了��。當然����,調用文件也可能位置是:c:\inetpub\wwwroot\iisstart.htm。
二:另外介紹一種高級留后門方式:自動收集服務器帳號密碼,當然前提是已經拿到服務器權限�����。
常見后門文件位置:c:\windows\system32\boot.dat ��,利用工具:自動收集VPS管理員帳號密碼(咻咻牌3389記錄管理密碼ASP收信版+顯IP)��。
這樣�����,只要你每次登陸服務器����,你的帳號密碼都會被記錄下來然后上傳到指定郵箱,即使你再怎么修改服務器密碼也無濟于事的原因�����。
三:我以前碰到過一些服務器被黑狀況���,不知道你的是不是這樣:
1����、在本地安全策略-安全設置-本地策略-安全選項-帳戶:重命名系統管理員帳戶-被修改成了GUEST。。然后GUEST就擁有了系統管理員權限����,禁用GUEST就連系統管理員帳戶一起禁用了����。GUEST帳戶也刪除不了��。
2��、在防火墻里例外了一個可疑文件,強行打開了一個端口�����。
3����、系統里的WLONTIFY.DLL文件被替換成了WMINOTIFY.DLL.
4���、被植入了LCX.EXE文件���。
5����、在C:\WINDOWS\生成了BOOT.DAT文件,記錄每次遠程登陸所用的帳號密碼�����。
6���、網站被植入了木馬下載鏈接�。
7、注冊表里生成了這么個東東:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\wminotify
后來雖然這些東西都清除了����,但是還不放心���,直接重做系統了����。
暫時整理這些����,不知道對你有沒有幫助。
