记一次IIS劫持处置
字数 1672 2025-08-15 21:32:43

IIS劫持事件分析与处置教学文档

事件概述

这是一起针对IIS服务器的恶意劫持事件,攻击者通过加载恶意DLL模块实现了对特定请求的条件性劫持,导致网站返回非法内容。以下是详细分析及处置方法。

事件时间线

  • 发现时间:晚上23:40
  • 系统环境:Windows Server 2008 R2 + IIS 7.5 + .NET 4.0
  • 攻击表现:特定web接口异常,从百度搜索进入会显示非法信息

攻击特征分析

  1. 初始发现

    • D盾扫描发现一句话后门:http://service.xxx.com/js/post.aspx
    • 访问IP主要为香港IP和存活检测蜘蛛

  2. 账户异常

    • Guest账户被克隆(通过注册表SAM项实现)

  3. 权限问题

    • Web目录设置Everyone完全控制
    • IIS程序池标识使用管理员账户

  4. 劫持条件

    • 路径包含"app"或"hot"关键字
    • User-Agent为搜索引擎蜘蛛(如百度蜘蛛)
    • 请求会被重定向到http://sc.xxxbt.com/xxx

攻击技术分析

攻击手法

  1. 初始入侵

    • 利用web目录过度宽松的权限(Everyone完全控制)
    • 上传webshell后门文件

  2. 权限维持

    • 克隆Guest账户
    • 加载恶意ISAPI模块实现持久化

  3. 流量劫持

    • 通过恶意DLL模块实现条件性劫持
    • 模块检查请求路径和User-Agent
    • 满足条件时返回第三方恶意内容

技术细节

  • IIS大小写敏感:发现/app/路径404但/APP/可访问,提示存在URL处理
  • 模块加载:恶意DLL通过IIS全局模块加载,无文件落地
  • 隐蔽性:不修改web.config或global.asax等常见文件

处置步骤

1. 初步排查

  1. 使用D盾扫描webshell:

    • 下载地址:http://d99net.net/down/d_safe_2.1.5.4.zip
    • 发现并删除一句话后门

  2. 账户检查:

    • 检查Guest等可疑账户
    • 备份注册表SAM项后删除克隆账户键值

  3. 目录检查:

    • 检查C:\Windows\tempC:\Windows\debug等提权常用目录

2. 深入调查

  1. 权限审计:

    • 检查web目录权限
    • 检查IIS程序池标识账户

  2. 异常行为分析:

    • 特定路径(/app/)访问异常
    • 发现IIS对路径大小写敏感的反常现象

  3. 模块检查:

    • 使用D盾检查w3wp.exe加载的模块
    • 发现无公司信息和说明的可疑DLL

3. 恶意模块定位

  1. 检查IIS配置:

    • C:\Windows\System32\inetsrv\config目录
    • 检查ISAPI筛选器和模块设置

  2. 确认模块位置:

    • IIS管理器 → 模块功能
    • 查找无签名的可疑模块

4. 清除处置

  1. 删除恶意模块:

    • 右键删除可疑模块
    • 在"配置本机模块"中彻底删除

  2. 验证清除效果:

    • 使用百度蜘蛛UA访问含"app"路径
    • 确认不再返回恶意内容

  3. 后续加固:

    • 全面查杀后门
    • 重新部署系统
    • 实施安全加固

防御建议

  1. 权限控制

    • 限制web目录权限,移除Everyone完全控制
    • 使用低权限账户运行应用程序池

  2. IIS加固

    • 定期审核ISAPI模块和筛选器
    • 禁用不必要的IIS功能

  3. 监控措施

    • 监控异常网络连接(如香港IP)
    • 设置文件完整性监控

  4. 安全实践

    • 定期更新和打补丁
    • 使用专业防护工具定期扫描
    • 实施最小权限原则

技术总结

本事件展示了攻击者如何利用:

  1. 过度宽松的权限设置
  2. IIS模块机制
  3. 条件性流量劫持技术

实现隐蔽的持久化控制。防御关键在于严格的权限管理、模块审核和异常行为监控。

取证与样本

  • 恶意DLL样本:https://pan.baidu.com/s/1cBo6Nob7Uhv2PHg7ySYIQA (提取码: byiz)
  • 建议对样本进行逆向分析以获取更多攻击细节

参考工具

  • D盾Webshell查杀工具:http://d99net.net/down/d_safe_2.1.5.4.zip
  • Process Explorer:检查进程加载模块
  • IIS管理器:审核模块和筛选器配置
IIS劫持事件分析与处置教学文档 事件概述 这是一起针对IIS服务器的恶意劫持事件,攻击者通过加载恶意DLL模块实现了对特定请求的条件性劫持,导致网站返回非法内容。以下是详细分析及处置方法。 事件时间线 发现时间 :晚上23:40 系统环境 :Windows Server 2008 R2 + IIS 7.5 + .NET 4.0 攻击表现 :特定web接口异常,从百度搜索进入会显示非法信息 攻击特征分析 初始发现 : D盾扫描发现一句话后门: http://service.xxx.com/js/post.aspx 访问IP主要为香港IP和存活检测蜘蛛 账户异常 : Guest账户被克隆(通过注册表SAM项实现) 权限问题 : Web目录设置Everyone完全控制 IIS程序池标识使用管理员账户 劫持条件 : 路径包含"app"或"hot"关键字 User-Agent为搜索引擎蜘蛛(如百度蜘蛛) 请求会被重定向到 http://sc.xxxbt.com/xxx 攻击技术分析 攻击手法 初始入侵 : 利用web目录过度宽松的权限(Everyone完全控制) 上传webshell后门文件 权限维持 : 克隆Guest账户 加载恶意ISAPI模块实现持久化 流量劫持 : 通过恶意DLL模块实现条件性劫持 模块检查请求路径和User-Agent 满足条件时返回第三方恶意内容 技术细节 IIS大小写敏感 :发现 /app/ 路径404但 /APP/ 可访问,提示存在URL处理 模块加载 :恶意DLL通过IIS全局模块加载,无文件落地 隐蔽性 :不修改web.config或global.asax等常见文件 处置步骤 1. 初步排查 使用D盾扫描webshell: 下载地址:http://d99net.net/down/d_ safe_ 2.1.5.4.zip 发现并删除一句话后门 账户检查: 检查Guest等可疑账户 备份注册表SAM项后删除克隆账户键值 目录检查: 检查 C:\Windows\temp 和 C:\Windows\debug 等提权常用目录 2. 深入调查 权限审计: 检查web目录权限 检查IIS程序池标识账户 异常行为分析: 特定路径( /app/ )访问异常 发现IIS对路径大小写敏感的反常现象 模块检查: 使用D盾检查w3wp.exe加载的模块 发现无公司信息和说明的可疑DLL 3. 恶意模块定位 检查IIS配置: C:\Windows\System32\inetsrv\config 目录 检查ISAPI筛选器和模块设置 确认模块位置: IIS管理器 → 模块功能 查找无签名的可疑模块 4. 清除处置 删除恶意模块: 右键删除可疑模块 在"配置本机模块"中彻底删除 验证清除效果: 使用百度蜘蛛UA访问含"app"路径 确认不再返回恶意内容 后续加固: 全面查杀后门 重新部署系统 实施安全加固 防御建议 权限控制 : 限制web目录权限,移除Everyone完全控制 使用低权限账户运行应用程序池 IIS加固 : 定期审核ISAPI模块和筛选器 禁用不必要的IIS功能 监控措施 : 监控异常网络连接(如香港IP) 设置文件完整性监控 安全实践 : 定期更新和打补丁 使用专业防护工具定期扫描 实施最小权限原则 技术总结 本事件展示了攻击者如何利用: 过度宽松的权限设置 IIS模块机制 条件性流量劫持技术 实现隐蔽的持久化控制。防御关键在于严格的权限管理、模块审核和异常行为监控。 取证与样本 恶意DLL样本:https://pan.baidu.com/s/1cBo6Nob7Uhv2PHg7ySYIQA (提取码: byiz) 建议对样本进行逆向分析以获取更多攻击细节 参考工具 D盾Webshell查杀工具:http://d99net.net/down/d_ safe_ 2.1.5.4.zip Process Explorer:检查进程加载模块 IIS管理器:审核模块和筛选器配置