Board logo

标题: [讨论]IIS被挂马 不是arp 找不到代码 [打印本页]

作者: valen886    时间: 2008-7-20 23:25     标题: [讨论]IIS被挂马 不是arp 找不到代码

[讨论]IIS被挂马 不是arp 找不到代码
议题作者:hudd
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

服务器上一共有200多个站.经过研究发现 貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..

开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...

另外我希望管理员好心通过一下....
帖子26 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经


huddhuddhudd
晶莹剔透§烈日灼然
作者: kklau    时间: 2008-7-20 23:25

补充一下:重装IIS 也不行.地址是http://zlzs.com/bbs/ 最好用记事本打开吧
帖子26 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

Helvin
团队决策人

作者: 伤人    时间: 2008-7-20 23:25

arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 赚更多的钱

追寻
荣誉会员

作者: 从小早起    时间: 2008-7-20 23:25

站点打开了显示数据库连接字串错误。

帖子561 精华2 积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-20 查看个人网站
查看详细资料引用 报告 回复 TOP

icc
晶莹剔透§烈日灼然
作者: LING    时间: 2008-7-20 23:25

IIS启用了文档页脚?
还是某个dll的问题?
帖子8 精华0 积分18 阅读权限40 在线时间33 小时 注册时间2007-10-14 最后登录2008-7-16 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

上帝在堕落
晶莹剔透§烈日灼然
作者: zjh7272    时间: 2008-7-20 23:25

传说中的IIS挂马,在 站点下建立虚拟目录。LZ找下这方面的文章看看赠人玫瑰,手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

huddhuddhudd
晶莹剔透§烈日灼然
作者: 车迷    时间: 2008-7-20 23:25

可以结帖了..还是msxml3.dll 问题..
帖子26 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hushui
晶莹剔透§烈日灼然
作者: wrong_sl    时间: 2008-7-20 23:25

楼主具体说下你怎么解决的问题,这样大家也可以学习下技术技术 技术!!!!
帖子30 精华0 积分95 阅读权限40 性别男 来自天边 在线时间63 小时 注册时间2006-4-28 最后登录2008-7-17 查看详细资料引用 报告 回复 TOP

huddhuddhudd
晶莹剔透§烈日灼然
作者: asdfghjkl963    时间: 2008-7-20 23:25

system32/msxml3.dll   这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....

只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛
帖子26 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用 报告 回复 TOP

321victor
晶莹剔透§烈日灼然
作者: 86298688    时间: 2008-7-20 23:25

刚刚讲的system32/msxml3.dll这个文件不能修改文件名,是不是在调用时已经插入到了EXPLOER进程里了呢?
帖子7 精华0 积分12 阅读权限40 性别男 在线时间4 小时 注册时间2008-1-19 最后登录2008-4-25 查看详细资料引用 报告 回复 TOP

84hack
晶莹剔透§烈日灼然
作者: pat-k    时间: 2008-7-20 23:25

结束explorer进程,在cmd下替换试试~
帖子13 精华0 积分18 阅读权限40 在线时间3 小时 注册时间2008-4-22 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

purpleninja
晶莹剔透§烈日灼然
作者: dabofeng    时间: 2008-7-20 23:25

也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断 其是否被恶意程序替换了
帖子7 精华0 积分19 阅读权限40 在线时间21 小时 注册时间2007-9-4 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

小拳头
荣誉会员





欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2