[讨论]IIS被挂马不是arp 找不到代码(页 1) - 技术交流 - 【3.A.S.T】网络安全爱好者 -- 网络安全，势在必行

valen886 发表于 2008-7-20 23:25

[讨论]IIS被挂马不是arp 找不到代码

[讨论]IIS被挂马不是arp 找不到代码
议题作者：hudd
信息来源：邪恶八进制信息安全团队（[url=http://www.eviloctal.com/]www.eviloctal.com[/url]）

服务器上一共有200多个站.经过研究发现貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..

开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...

另外我希望管理员好心通过一下....
帖子26 精华[url=http://forum.eviloctal.com/digest.php?authorid=28517]0[/url] 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=28517]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=137531&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=137531&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日，预测咨询，公司改名，权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-28517.html]huddhuddhudd[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

kklau 发表于 2008-7-20 23:25

补充一下:重装IIS 也不行.地址是[url=http://zlzs.com/bbs/]http://zlzs.com/bbs/[/url] 最好用记事本打开吧
帖子26 精华[url=http://forum.eviloctal.com/digest.php?authorid=28517]0[/url] 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=28517]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=106919&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=106919&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日，预测咨询，公司改名，权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-1349.html]Helvin[/url] [img]http://forum.eviloctal.com/customavatars/1349.gif[/img]
团队决策人
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

伤人发表于 2008-7-20 23:25

arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华[url=http://forum.eviloctal.com/digest.php?authorid=1349]22[/url] 积分5000 阅读权限255 在线时间1758 小时注册时间2005-1-7 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=1349]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=106921&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=106921&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]

[url=http://forum.eviloctal.com/space-uid-64683.html]追寻[/url] [img]http://forum.eviloctal.com/customavatars/64683.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

从小早起 发表于 2008-7-20 23:25

站点打开了显示数据库连接字串错误。
[url=http://wwp.icq.com/scripts/search.dll?to=388757161][img]http://forum.eviloctal.com/images/default/icq.gif[/img][/url]
帖子561 精华[url=http://forum.eviloctal.com/digest.php?authorid=64683]2[/url] 积分4271 阅读权限100 性别男在线时间525 小时注册时间2006-9-23 最后登录2008-7-20 [url=http://www.woshizhu.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=64683]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=106953&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=106953&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-143744.html]icc[/url] [img]http://forum.eviloctal.com/images/avatars/pw/matrix1.jpg[/img]
晶莹剔透§烈日灼然

LING 发表于 2008-7-20 23:25

IIS启用了文档页脚？
还是某个dll的问题？
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=143744]0[/url] 积分18 阅读权限40 在线时间33 小时注册时间2007-10-14 最后登录2008-7-16 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=143744]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=107006&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=107006&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日，预测咨询，公司改名，权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-122864.html]上帝在堕落[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

zjh7272 发表于 2008-7-20 23:25

传说中的IIS挂马，在站点下建立虚拟目录。LZ找下这方面的文章看看赠人玫瑰，手留余香。
[url=http://wpa.qq.com/msgrd?V=1&Uin=114090&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子41 精华[url=http://forum.eviloctal.com/digest.php?authorid=122864]0[/url] 积分131 阅读权限40 性别男在线时间65 小时注册时间2007-5-21 最后登录2008-6-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=122864]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=107186&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=107186&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘（图）[/url]

[url=http://forum.eviloctal.com/space-uid-28517.html]huddhuddhudd[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

车迷发表于 2008-7-20 23:25

可以结帖了..还是msxml3.dll 问题..
帖子26 精华[url=http://forum.eviloctal.com/digest.php?authorid=28517]0[/url] 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=28517]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141307&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141307&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-46286.html]hushui[/url] [img]http://forum.eviloctal.com/images/avatars/pw/sky1.gif[/img]
晶莹剔透§烈日灼然

wrong_sl 发表于 2008-7-20 23:25

楼主具体说下你怎么解决的问题，这样大家也可以学习下技术技术技术！！！！
帖子30 精华[url=http://forum.eviloctal.com/digest.php?authorid=46286]0[/url] 积分95 阅读权限40 性别男来自天边在线时间63 小时注册时间2006-4-28 最后登录2008-7-17 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=46286]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141449&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141449&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-28517.html]huddhuddhudd[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

asdfghjkl963 发表于 2008-7-20 23:25

system32/msxml3.dll 这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....

只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛
帖子26 精华[url=http://forum.eviloctal.com/digest.php?authorid=28517]0[/url] 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=28517]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141593&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141593&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-157032.html]321victor[/url] [img]http://forum.eviloctal.com/images/avatars/pw/univer2.gif[/img]
晶莹剔透§烈日灼然

86298688 发表于 2008-7-20 23:25

刚刚讲的system32/msxml3.dll这个文件不能修改文件名，是不是在调用时已经插入到了EXPLOER进程里了呢？
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=157032]0[/url] 积分12 阅读权限40 性别男在线时间4 小时注册时间2008-1-19 最后登录2008-4-25 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=157032]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141614&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141614&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-162205.html]84hack[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

pat-k 发表于 2008-7-20 23:25

结束explorer进程，在cmd下替换试试~
帖子13 精华[url=http://forum.eviloctal.com/digest.php?authorid=162205]0[/url] 积分18 阅读权限40 在线时间3 小时注册时间2008-4-22 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=162205]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141893&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141893&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-138189.html]purpleninja[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

dabofeng 发表于 2008-7-20 23:25

也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断其是否被恶意程序替换了
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=138189]0[/url] 积分19 阅读权限40 在线时间21 小时注册时间2007-9-4 最后登录2008-6-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=138189]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=31813&repquote=141937&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=31813&pid=141937&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-154691.html]小拳头[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

页: [1]

【3.A.S.T】网络安全爱好者's Archiver

[讨论]IIS被挂马 不是arp 找不到代码

[讨论]IIS被挂马不是arp 找不到代码