作者issic1999 (艾思科)
看板MIS
标题[请益] IIS 7.5 URL伪静态方法(骇客过招)
时间Tue Feb 19 14:00:29 2019
请问各位高手:
最近有一台win server 2008 IIS 7.5主机(简称A主机),遇到一个问题,
凡从搜寻引擎点选连结(例如abc.com/sd/a.aspx)到A主机,明明没有该目录
跟档案,但WEB LOG会状态判断是200,然後将网页转址到情色网站,这情况跟
使用url rewirte功能很神似,於是检查如下
1.检查IIS确认没安装url rewrite模组
2.检查ISAPI Filters 也没有规则
3.error page 没有自订设定(.net 也相同)
4.http redirect没设定
5.web.config 没有rewrite相关规则
6.看TASK 也没有异常的process
https://imgur.com/a/QQOnHFy
请问各位高手,还有什麽可能性呢? 目前找不出对方是使用何种方法
还请高手不啬指教 感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.117.33.113
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1550556031.A.5A8.html
1F:→ kenwufederer: 你把IIA关闭看会不会转02/19 14:08
2F:→ kenwufederer: IIS02/19 14:08
3F:推 tomsawyer: 一定是装了百度云盘的原因(x02/19 14:36
4F:→ eric00169: 主机的host档案呢?02/19 14:51
5F:→ issic1999: Host检查也正常,iis关掉就不转没错..xD02/19 15:56
6F:→ issic1999: 但iis不开网站就开不了啦 02/19 16:23
7F:推 Wishmaster: 那你在web或在client抓封包可以看到甚麽? 02/19 16:58
8F:→ issic1999: 有用smartsniff去看,不过无法看到异常的地方 02/19 18:15
9F:→ issic1999: 正常的url进来,转址的封包送出去..代表应该是IIS搞怪02/19 18:16
10F:推 darktasi: 档案丢去其他台iis跑呢02/20 02:48
11F:→ winters920: 色情网址拿去web.config里面搜寻,然後再看你网页原始02/20 11:23
12F:→ winters920: 码,是否有被迁入meta refresh02/20 11:23
13F:→ issic1999: web.config找过,连全部的档案都搜过,还是没线索02/20 19:31
14F:→ cat031147: 首页被插了javascript?02/20 21:2]
※ 编辑: issic1999 (223.141.114.141), 02/21/2019 07:43:01
15F:→ winters920: 原始码检查过了没? 02/21 15:47
16F:→ issic1999: 公布解答,今天找到了连结是写在.dll里面...真是无言 02/21 23:02
17F:推 kennyna: 请问方式找到dll? 02/22 13:08
18F:推 lusaka: 请问是在从那个地方查询到有问题的dll 02/27 10:12