作者issic1999 (艾思科)
看板MIS
標題[請益] IIS 7.5 URL偽靜態方法(駭客過招)
時間Tue Feb 19 14:00:29 2019
請問各位高手:
最近有一台win server 2008 IIS 7.5主機(簡稱A主機),遇到一個問題,
凡從搜尋引擎點選連結(例如abc.com/sd/a.aspx)到A主機,明明沒有該目錄
跟檔案,但WEB LOG會狀態判斷是200,然後將網頁轉址到情色網站,這情況跟
使用url rewirte功能很神似,於是檢查如下
1.檢查IIS確認沒安裝url rewrite模組
2.檢查ISAPI Filters 也沒有規則
3.error page 沒有自訂設定(.net 也相同)
4.http redirect沒設定
5.web.config 沒有rewrite相關規則
6.看TASK 也沒有異常的process
https://imgur.com/a/QQOnHFy
請問各位高手,還有什麼可能性呢? 目前找不出對方是使用何種方法
還請高手不嗇指教 感謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.33.113
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1550556031.A.5A8.html
1F:→ kenwufederer: 你把IIA關閉看會不會轉02/19 14:08
2F:→ kenwufederer: IIS02/19 14:08
3F:推 tomsawyer: 一定是裝了百度雲盤的原因(x02/19 14:36
4F:→ eric00169: 主機的host檔案呢?02/19 14:51
5F:→ issic1999: Host檢查也正常,iis關掉就不轉沒錯..xD02/19 15:56
6F:→ issic1999: 但iis不開網站就開不了啦 02/19 16:23
7F:推 Wishmaster: 那你在web或在client抓封包可以看到甚麼? 02/19 16:58
8F:→ issic1999: 有用smartsniff去看,不過無法看到異常的地方 02/19 18:15
9F:→ issic1999: 正常的url進來,轉址的封包送出去..代表應該是IIS搞怪02/19 18:16
10F:推 darktasi: 檔案丟去其他台iis跑呢02/20 02:48
11F:→ winters920: 色情網址拿去web.config裡面搜尋,然後再看你網頁原始02/20 11:23
12F:→ winters920: 碼,是否有被遷入meta refresh02/20 11:23
13F:→ issic1999: web.config找過,連全部的檔案都搜過,還是沒線索02/20 19:31
14F:→ cat031147: 首頁被插了javascript?02/20 21:2]
※ 編輯: issic1999 (223.141.114.141), 02/21/2019 07:43:01
15F:→ winters920: 原始碼檢查過了沒? 02/21 15:47
16F:→ issic1999: 公佈解答,今天找到了連結是寫在.dll裡面...真是無言 02/21 23:02
17F:推 kennyna: 請問方式找到dll? 02/22 13:08
18F:推 lusaka: 請問是在從那個地方查詢到有問題的dll 02/27 10:12