安心数据联系电话
精选美国服务器 提供美国KT等特价服务器租用!
首 页 美国KT机房 美国SJ机房 美国FDC机房 美国堪萨斯 香港服务器 韩国服务器 美国VPS =》知识库《=
问题搜索

HTML页面被iframe植入木马病毒(MetaBase.xml挂马)

(时间:2011-08-15 08:35)

近期有租用美国服务器的客户出现页面被挂木马的情况,但是源文件中又找不到被挂木马那段iframe代码,一个客户是美国KT机房的,一个是美国堪萨斯机房的,由于美国服务器服务商基本上都是划分独立子网的,所以排除ARP攻击导致木马,经过派发发现在IIS的DefaultDocFooter被写入一个本地HTML文件,查看该文件源码,正是页面被挂上的木马病毒,现将远离总结一下。

HTML页面被iframe植入木马病毒(MetaBase.xml挂马)
表现:所有HTML静态页面页脚在浏览器打开的时候都自动被加上一段 形如 <iframe src=XXXX width=0 height=0>的代码,动态页面无此情况。
文件:C:\WINDOWS\system32\inetsrv\MetaBase.xml(C盘为系统盘符号)
检查: 打开IIS 检查网站属性,您可以看到如下:
IIS启用文档页脚
可以看到, 启用文档页脚被勾选并指向一个本地的HTM文件,一般情况下,这个默认是没有的,如果发现有被添加,您可以打开指向的本地文件查看是否为木马病毒代码。
或者,您可以通过 检查 C:\WINDOWS\system32\inetsrv\MetaBase.xml检查是否被添加上如下一段代码:

<IIsWebVirtualDir Location ="/LM/W3SVC/81120797/root"
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默认应用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"

DefaultDocFooter= 后面一般都是跟一个本地的文件,木马病毒就在这里了

解决方案:在IIS里将 启用文档页脚删除,检查服务器安全设置,更多办法请参考 服务器安全防护技术

本文由 安心网 整理,标题:HTML页面被iframe植入木马病毒(MetaBase.xml挂马)
地址:http://www.anxinidc.com/faq/anquan/206.html(转载请保留)
相关文章:
  • 服务器发现外发包的处理方案整理
  • DedeCMS V5.3/V5.5/V5.7 安全设置建议及办法
  • DEDECMS漏洞0day临时解决方案
  • win2003修改默认管理员Administrator用户名的方法
  • Windows远程桌面中的漏洞可能允许远程执行代码 (2671387)
  • Tags: 木马 iframe
    安心网提供实惠美国服务器租用 安心提供实惠美国服务器租用,包含美国KT,美国FDC,美国SK,美国堪萨斯,法律博客,韩国服务器,香港服务器等.服务说明 | RSS订阅 | 网站地图.
    售前咨询QQ:800040070 , 售后服务QQ:94290291 安心网 © 2003-2011 Anxinidc.com All Rights Reserved.蜀ICP备14001657号