Chinaunix

标题: IIS 服务器被攻击了。。求救 [打印本页]

作者: free-av 时间: 2008-04-21 11:51
标题: IIS 服务器被攻击了。。求救
可能给人家挂马了。。

1。网站页面下都会出现iframe木马, 查看源文件,看不到任何问题.
刚开始怀疑是ARP,但服务器已经绑定路由器MAC地址,并且同一网段的其他服务器没有这个问题.

2。只要重新启动IIS , 木马就会消失, 但过了大概1周左右, 就又会出来....

作者: IDC588 时间: 2008-04-21 17:58
<iframe =?> 类似这样的代码应该是对浏览者很耗资源的恶意代码这个木马不知道

作者: wangjkkl 时间: 2008-04-22 00:04
升级系统补丁..
查看帐户并修改帐户密码!加强安全防护!

作者: hust888 时间: 2008-04-22 00:11
“服务器已经绑定路由器MAC地址”：没有用的，别的服务器欺骗你的服务器，说它的的MAC地址就是路由器的MAC地址，你就中招了。。。

作者: 唯三色彩 时间: 2008-04-22 10:46
根据描述看，应该还是arp的原因。（服务器本地文件没有iframe而外网访问时加上的话）

作者: 无声无息 时间: 2008-04-23 16:38
重启iis没事，应该不是iis的问题了
arp病毒吧
发发网页看看

作者: pc1453 时间: 2008-04-24 15:27
如果有备份你自己恢复下吧我碰到过，完了之后自己检查下系统打上该打的补丁

作者: ShySamurai 时间: 2008-04-27 10:17

原帖由 free-av 于 2008-4-21 11:51 发表
可能给人家挂马了。。

1。网站页面下都会出现iframe木马, 查看源文件,看不到任何问题.
刚开始怀疑是ARP,但服务器已经绑定路由器MAC地址,并且同一网段的其他服务器没有这个问题.

2。只要重新启动 ...

微软有个解决方案也许可以借鉴一下。

http://www.microsoft.com/technet/security/advisory/951306.mspx

我找不到相应的中文网站，你可以到suggested action看一看。
这段时间利用这种方法（iFrame）来传播malware攻击很多哈。。。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)