大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE稳定放心使用
今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。
以下是可疑模块文件:
MD5:
| FilterSecurity32.dll | 371cd2a75c9c621117678ffd20ce0a12 |
| FilterSecurity64.dll | 80887b65317f2d45761c1c2b96970e0c |
| mscorevt.dll-32 | e60d67348609c11157d5fce3f591b694 |
| mscorevt.dll_64 | 24ef2ae90c722cebab029de9ffec0bd6 |
方法二:使用工具来检测。
工具要到原文谨防IIS模块挂马-豫章小站去下载。
使用方法:
到cmd命令行下执行这个文件,会对比原始的iis加载模块,然后列出异常模块。
注意:删除有可能配置文件里面没有清除,继续检测会报警。注意检查本机模块将其删除,或者关停iis,直接打开编辑iis配置文件去删除。
» 转载请保留出处:豫章小站 » 《谨防IIS模块挂马》
» 原文链接地址:谨防IIS模块挂马-豫章小站
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/187985.html原文链接:https://javaforall.net
