記一次IIS劫持處置

• 2019 年 12 月 23 日
• 筆記

晚上十一點四十，剛準備休息，收到朋友電話，其一個站點被入侵篡改，導致某web接口異常，幫忙遠程處理。

D盾一把梭：

網頁篡改、服務器入侵類事件處理了幾年，第一反應是服務器被提權，中了後門，佔用CPU、內存等資源，導致站點無法工作。

對方管理員登錄服務器後，TV鏈接到管理員電腦，查看為2008R2系統，採用IIS7.5作為web服務，web為.net4.0開發。

下載D盾(http://d99net.net/down/d_safe_2.1.5.4.zip)對着站點一把梭。

檢測到一個一句話後門，訪問路徑：http://service.xxx.com/js/post.aspx.

經過IIS日誌查詢訪問IP，均為香港IP和某存活檢測蜘蛛，備份後門文件後刪除。

查看賬戶，guest被克隆，備份註冊表sam項後手動刪除guest賬戶的鍵值。

查看提權常用的C:Windowstemp、C:Windowsdebug目錄，無任何熟悉的提權腳本和文件，瞬間懷疑人生。

詭異不斷：

詭異事件一、發現被入侵後，WEB接口壞了

刪除完webshell和克隆賬戶，上了啊D做臨時防護，正準備讓管理員修改密碼並默默殺毒、我下線睡覺。告知站點api接口訪問不了。訪問接口地址為：http://service.馬賽克.com/app/xxx.ashx

查看web目錄下app目錄存在，文件存在，一訪問卻提示404找不到對象。

往app文件夾新建一個txt文件，訪問，繼續找不到對象。再次懵逼。

一般情況下IIS會對asp、php、aspx、ashx等設置處理程序映射。如下圖，

靜態文件，html、txt、css這類默認不需要指定可執行文件處理。

靜態文件也404找不到對象！第一反應，站點根目錄web.config被篡改，對app路徑做了URL重寫。（.net的URL重寫和J**A的URL路由類似，可直接由站點bin目錄下的dll處理）

打開web.config查看，有偽靜態規則轉發請求到app目錄下程序處理，但是未對/app/xxx這種路徑做任何設置。

詭異事件二、Windows下IIS竟然區分大小寫！

訪問時候切換輸入法，大寫鎖定，發生了奇蹟。http://xxx.馬賽克.com/APP/xxx.ashx這種路徑竟可以正常請求到，簡單測試，aPp、aPP、App都可以訪問到。到這裡基本確定是IIS上有程序作了URL處理。

管理員發了掛馬詳情：從百度搜索進入，即可看到非法信息。

整個過程瞬間清晰了，這不就簡單的url劫持么，判斷來路、路徑，再選擇性返回菠菜信息。常規套路。

詭異事件三、死活找不到跳轉文件

根據以往經驗，查global.asax，一行一行看了2分鐘，沒有問題，再打開web.config看了2分鐘，沒有問題。

C:WindowsSystem32inetsrvconfig目錄（IIS7的站點配置均存儲於此）下配置文件文件，搜索app關鍵詞，沒有問題。

點開微信，此刻，朋友圈已經開始下雪了。

啊D再次救場

看着朋友圈，回顧了整個過程：

1、使用百度蜘蛛UA訪問帶app關鍵字的的URL會被掛馬 2、無掛馬文件

到這裡，基本確定是加載的dll擴展出了問題。

建立一個站點，指向IIS默認站點路徑，修改百度UA後訪問/appxxx驗證，的確出現了賣菜信息。

點開啊D，進程查看，定位到web進程，w3wp.exe

加載了一個連公司信息和說明都有不起的dll。豁然開朗。

查：

查看IIS全局設置中isapi篩選器和模塊設置，在模塊功能下找到了真兇。

殺：

找到問題後，處理就比較簡單，右鍵刪除模塊，然後在配置本機模塊功能下，選擇剛才刪除的模塊名，刪除、重啟IIS即可。

訪問app路徑驗證，終於出現了久違的找不到對象提示。

簡單分析：

通過在測試服務器上加載dll並觸發事件，抓包查看到如下流量：

在條件滿足（路徑帶app字樣且UA為蜘蛛）情況下，IIS進程會請求http://sc.xxxbt.com/xxx 路徑，並返回請求到的內容。

到此，app接口恢復正常，掛馬不復存在。

剩下的由管理員查殺後門，臨時恢復業務，擇日重新部署新系統並加固。

由於當年300百元拜師費沒有拜逆向師傅，只能從流量層面做簡單分析。

經測試，URL帶app、hot字樣，均會產生內容劫持，有遇到類似情況的可以參考處理。

感興趣的可以下載dll文件做復現或分析：

鏈接: https://pan.baidu.com/s/1cBo6Nob7Uhv2PHg7ySYIQA 提取碼: byiz

*本文作者：r41nbow，轉載請註明來自FreeBuf.COM