天下2014 - 2013-10-28 16:34:00
广大的朋友,兄弟们,我的网站江苏财会网
www.accjs.com,最近被挂木马了,才刚才开始做不久,我检了相关的漏洞检查,检测结果都是100分的,我查看了相关的程序文件,也没有问题,但就是奇怪了,老是出现这样的问题,情况如下:
点击进入相关的不存在的页面后(这个"html"后面的文件,在我的网站根目录中就根本不存在这个html文件夹),会“自动” 跳转到其它不法的网站上,如下图就是(大家也可以在百度中,输入site:
www.accjs.com试试看,真的感觉奇怪):
请高手帮忙看一下,万分感谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
networkedition - 2013-10-28 16:59:00
下载sreng工具扫描日志来看一下,日志压缩发来,刚分析了一下网站未见异常,在web服务器上扫描日志。
http://www.kztechs.com/sreng/download.html
天下2014 - 2013-10-29 14:30:00
您好,我已经下载sreng工具并扫描,现将日志上传了(在附件中。。。),请版主帮忙分析一下,万分感谢!
networkedition - 2013-10-29 14:59:00
日志未见异常,抓包看一下吧,在网站服务器上运行wireshark抓包工具,在另一台电脑上可以和服务器通讯的电脑,访问百度链接的那个地址,之后开始抓包。抓包之后把数据包压缩发来,可以上传网盘:pan.baidu.com并提供下载地址
天下2014 - 2013-11-4 13:57:00
你好,我现已经抓包好在关
www.accjs.com的数据了,现在上传(在附件中。。。),请版主帮忙分析一下,万分感谢!
networkedition - 2013-11-4 15:02:00
请查看一下iis管理器里网站的ISAPI筛选管理器是否有添加的异常模块文件,如果有请压缩跟帖上传。
天下2014 - 2013-11-4 16:50:00
你好,我查看了IIS,也没有什么异常模块文件呀,我现上传图片
networkedition - 2013-11-4 16:56:00
点击rewrite点查看一下对应的dll是什么,找到发来。
天下2014 - 2013-11-4 17:54:00
我已经上传,请帮忙看一下,谢谢~
附件:
Rewrite.rar
networkedition - 2013-11-5 9:08:00
样本已收集
networkedition - 2013-11-5 9:33:00
请查看一下和rewrite.dll在同一目录下是否有httpd.ini文件,如果有请压缩跟帖上传。
天下2014 - 2013-11-5 17:45:00
您好,分析得如何?谢谢
networkedition - 2013-11-6 9:14:00
rewrite.dll不是病毒,11楼的文件找了么?另这个rewrite.dll是自己添加上去的嘛?如果不是,建议删除,之后查看网站是否正常。
天下2014 - 2013-11-6 12:24:00
rewrite.dll 是自己添加上去的,不过是另外一个网站需要的,和我说的
www.accjs.com网站无关,现已经上传在附件中,谢谢
networkedition - 2013-11-6 13:26:00
rewrite.dll 是自己添加,那就不是这个原因导致的了。建议查看一下是不是端口劫持。
豆子server - 2014-1-16 20:43:00
你这个站貌似现在还被做了泛解析到了博彩站点
© 2000 - 2024 Rising Corp. Ltd.
