【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]IIS被挂马不是arp 找不到代码 [打印本页]

作者: valen886 时间: 2008-7-20 23:25 标题: [讨论]IIS被挂马不是arp 找不到代码

[讨论]IIS被挂马不是arp 找不到代码
议题作者：hudd
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

服务器上一共有200多个站.经过研究发现貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..

开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...

另外我希望管理员好心通过一下....
帖子26 精华0 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用报告回复 TOP 良辰择日，预测咨询，公司改名，权威易经

huddhuddhudd

晶莹剔透§烈日灼然

作者: kklau 时间: 2008-7-20 23:25

补充一下:重装IIS 也不行.地址是http://zlzs.com/bbs/ 最好用记事本打开吧
帖子26 精华0 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用报告回复 TOP 良辰择日，预测咨询，公司改名，权威易经

Helvin

团队决策人

作者: 伤人 时间: 2008-7-20 23:25

arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用报告回复 TOP 赚更多的钱

追寻

荣誉会员

作者: 从小早起 时间: 2008-7-20 23:25

站点打开了显示数据库连接字串错误。

帖子561 精华2 积分4271 阅读权限100 性别男在线时间525 小时注册时间2006-9-23 最后登录2008-7-20 查看个人网站
查看详细资料引用报告回复 TOP

icc

晶莹剔透§烈日灼然

作者: LING 时间: 2008-7-20 23:25

IIS启用了文档页脚？
还是某个dll的问题？
帖子8 精华0 积分18 阅读权限40 在线时间33 小时注册时间2007-10-14 最后登录2008-7-16 查看详细资料引用报告回复 TOP 良辰择日，预测咨询，公司改名，权威易经

上帝在堕落

晶莹剔透§烈日灼然

作者: zjh7272 时间: 2008-7-20 23:25

传说中的IIS挂马，在站点下建立虚拟目录。LZ找下这方面的文章看看赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男在线时间65 小时注册时间2007-5-21 最后登录2008-6-21 查看详细资料引用报告回复 TOP 少女暴富的隐秘（图）

huddhuddhudd

晶莹剔透§烈日灼然

作者: 车迷 时间: 2008-7-20 23:25

可以结帖了..还是msxml3.dll 问题..
帖子26 精华0 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

hushui

晶莹剔透§烈日灼然

作者: wrong_sl 时间: 2008-7-20 23:25

楼主具体说下你怎么解决的问题，这样大家也可以学习下技术技术技术！！！！
帖子30 精华0 积分95 阅读权限40 性别男来自天边在线时间63 小时注册时间2006-4-28 最后登录2008-7-17 查看详细资料引用报告回复 TOP

huddhuddhudd

晶莹剔透§烈日灼然

作者: asdfghjkl963 时间: 2008-7-20 23:25

system32/msxml3.dll 这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....

只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛
帖子26 精华0 积分65 阅读权限40 在线时间23 小时注册时间2006-1-18 最后登录2008-7-14 查看详细资料引用报告回复 TOP

321victor

晶莹剔透§烈日灼然

作者: 86298688 时间: 2008-7-20 23:25

刚刚讲的system32/msxml3.dll这个文件不能修改文件名，是不是在调用时已经插入到了EXPLOER进程里了呢？
帖子7 精华0 积分12 阅读权限40 性别男在线时间4 小时注册时间2008-1-19 最后登录2008-4-25 查看详细资料引用报告回复 TOP

84hack

晶莹剔透§烈日灼然

作者: pat-k 时间: 2008-7-20 23:25

结束explorer进程，在cmd下替换试试~
帖子13 精华0 积分18 阅读权限40 在线时间3 小时注册时间2008-4-22 最后登录2008-7-6 查看详细资料引用报告回复 TOP

purpleninja

晶莹剔透§烈日灼然

作者: dabofeng 时间: 2008-7-20 23:25

也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断其是否被恶意程序替换了
帖子7 精华0 积分19 阅读权限40 在线时间21 小时注册时间2007-9-4 最后登录2008-6-21 查看详细资料引用报告回复 TOP

小拳头

荣誉会员

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)