早上打开一个自己的网站瞧瞧,发现又被注入iframe了。
真是缺德,报警也找不到地方,也难怪现在精力都放在扫“低俗”了。
首先确认只有一个站点有毒,就觉得应该是这个网站有漏洞,哪个文件被改写了,因首页是html的,排查范围就从这里面调用的js开始,走了一圈没发现异常。
然后发现所有站点都被注入了,包括未指定域名的那个,里面可是只有“域名待售”几个字,就怀疑是arp,但跟机房沟通发现也没事。
于是转向排查iis设置,肯定是解析输出时有问题了。
果然,web服务扩展里面“在服务器段的包含文件”被启用,关掉之,然后去看站点设置,发现属性中的文档里面“启用文档页脚”被勾上了,印象当中默认是空的,于是打开“C:\WINDOWS\system32\Com\iis.htm”这个文件,果然“<iframe src= width=10 height=0></iframe>”就在里面。
问题暂时解决了,但这东西怎么被改的呢?
其实之前就发现先开始中毒的那个站的upload中有个“fuckphp.php.rar”,被我咔掉了。
后面的问题等我想清楚了再说。
发表评论