首页 » 技术产品 » 正文

网站劫持——IIS分析篇

介绍:网页劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。

目的:能把访问者直接「绑架」到自己的站点访问是最好的,能获得真实的人气。但这样动静比较大,容易暴露,退而求其次也行,把搜索引擎的流量「绑架」过来,这样自己的排名能上去,也能把一些使用搜索引擎的用户拉过来。

劫持后会被收录,可以通过关键字看到如图:

此图像的alt属性为空;文件名为image.png

搜索引擎劫持分类有两种

1.服务端劫持也称为全局劫持,手法为修改网站动态语言文本,判断访问来源控制返回内容,从来达到网站劫持的目的。

2.客户端劫持的手法也很多,但主要就是2种:js劫持、Header劫持。

IIS劫持的处理

在我们技术团队处理的劫持案列中90%以上客户都是使用的IIS加sqlserver的架构,所以这里整理下遇到IIS被劫持的如何快速去定位,找出问题点。

首选判断劫持的类型,通过新建站点的方式,然后抓包修改user-agent或者referer,访问新站点看是否还会跳转。没有跳转说明可能是前端JS修改了或者是网站代码,配置文件被修改了。需要在这几个地方去排查。

这里说下新建站点还会跳转的处理。这种可以确定的是针对整个IIS的劫持了。而能够达到此目的只有全局模块。所以我们通过procexp工具分析IIS加载的线程,发现有一个异常的DLL文件连公司信息都没有。

打开模块查看

然后在整个IIS站点配置本机模块功能下,选择刚才删除的模块名,删除、重启IIS即可。

在此访问发现网站已经正常。

加固建议:禁用sqlserver的xp-cmdshell组件,网站的上传目录去掉脚本执行权限。

发表评论