标题:
[讨论]IIS被挂马 不是arp 找不到代码
[打印本页]
作者:
valen886
时间:
2008-7-20 23:25
标题:
[讨论]IIS被挂马 不是arp 找不到代码
[讨论]IIS被挂马 不是arp 找不到代码
议题作者:hudd
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
服务器上一共有200多个站.经过研究发现 貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..
开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...
另外我希望管理员好心通过一下....
帖子26 精华
0
积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
huddhuddhudd
晶莹剔透§烈日灼然
作者:
kklau
时间:
2008-7-20 23:25
补充一下:重装IIS 也不行.地址是
http://zlzs.com/bbs/
最好用记事本打开吧
帖子26 精华
0
积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
Helvin
团队决策人
作者:
伤人
时间:
2008-7-20 23:25
arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华
22
积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
赚更多的钱
追寻
荣誉会员
作者:
从小早起
时间:
2008-7-20 23:25
站点打开了显示数据库连接字串错误。
帖子561 精华
2
积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-20
查看个人网站
查看详细资料
引用
报告
回复
TOP
icc
晶莹剔透§烈日灼然
作者:
LING
时间:
2008-7-20 23:25
IIS启用了文档页脚?
还是某个dll的问题?
帖子8 精华
0
积分18 阅读权限40 在线时间33 小时 注册时间2007-10-14 最后登录2008-7-16
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
上帝在堕落
晶莹剔透§烈日灼然
作者:
zjh7272
时间:
2008-7-20 23:25
传说中的IIS挂马,在 站点下建立虚拟目录。LZ找下这方面的文章看看赠人玫瑰,手留余香。
帖子41 精华
0
积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21
查看详细资料
引用
报告
回复
TOP
少女暴富的隐秘(图)
huddhuddhudd
晶莹剔透§烈日灼然
作者:
车迷
时间:
2008-7-20 23:25
可以结帖了..还是msxml3.dll 问题..
帖子26 精华
0
积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
hushui
晶莹剔透§烈日灼然
作者:
wrong_sl
时间:
2008-7-20 23:25
楼主具体说下你怎么解决的问题,这样大家也可以学习下技术技术 技术!!!!
帖子30 精华
0
积分95 阅读权限40 性别男 来自天边 在线时间63 小时 注册时间2006-4-28 最后登录2008-7-17
查看详细资料
引用
报告
回复
TOP
huddhuddhudd
晶莹剔透§烈日灼然
作者:
asdfghjkl963
时间:
2008-7-20 23:25
system32/msxml3.dll 这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....
只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛
帖子26 精华
0
积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14
查看详细资料
引用
报告
回复
TOP
321victor
晶莹剔透§烈日灼然
作者:
86298688
时间:
2008-7-20 23:25
刚刚讲的system32/msxml3.dll这个文件不能修改文件名,是不是在调用时已经插入到了EXPLOER进程里了呢?
帖子7 精华
0
积分12 阅读权限40 性别男 在线时间4 小时 注册时间2008-1-19 最后登录2008-4-25
查看详细资料
引用
报告
回复
TOP
84hack
晶莹剔透§烈日灼然
作者:
pat-k
时间:
2008-7-20 23:25
结束explorer进程,在cmd下替换试试~
帖子13 精华
0
积分18 阅读权限40 在线时间3 小时 注册时间2008-4-22 最后登录2008-7-6
查看详细资料
引用
报告
回复
TOP
purpleninja
晶莹剔透§烈日灼然
作者:
dabofeng
时间:
2008-7-20 23:25
也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断 其是否被恶意程序替换了
帖子7 精华
0
积分19 阅读权限40 在线时间21 小时 注册时间2007-9-4 最后登录2008-6-21
查看详细资料
引用
报告
回复
TOP
小拳头
荣誉会员
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2