最近一段時(shí)間，有多名客戶反饋，其搭建的業(yè)務(wù)網(wǎng)站在一些特定時(shí)間段內(nèi)會(huì)出現(xiàn)被劫持跳轉(zhuǎn)到其他網(wǎng)站現(xiàn)象，而且很多客戶網(wǎng)站一起出現(xiàn)該現(xiàn)象，導(dǎo)致客戶業(yè)務(wù)受損，流量被引走的情況。

      客戶反饋后，我司人員集合多個(gè)技術(shù)人員一起檢查，發(fā)現(xiàn)客戶搭建網(wǎng)站的iis工具有被入侵和掛馬跡象，導(dǎo)致該服務(wù)器上的iis程序搭建的網(wǎng)站都會(huì)被跳轉(zhuǎn)到其他網(wǎng)站頁面。

分析和定位：

      抓包發(fā)現(xiàn)，服務(wù)器返回的包里面都會(huì)有一條301跳轉(zhuǎn)的數(shù)據(jù)包，也就是這個(gè)數(shù)據(jù)包將要訪問的網(wǎng)站跳轉(zhuǎn)到了其他網(wǎng)站。

在服務(wù)器上通過安全軟件掃描發(fā)現(xiàn)了木馬文件 HttpResetModule.dll

且該木馬文件已經(jīng)寫入了iis的內(nèi)核模塊中，導(dǎo)致該服務(wù)器上使用iis搭建的網(wǎng)站都會(huì)被劫持跳轉(zhuǎn)。

處理方法如下：

【1】排查C:\Windows\Microsoft.NET\Framework64 目錄下是否有 HttpResetModule.dll這個(gè)文件，并刪除掉

【2】因該文件已經(jīng)寫入iis的內(nèi)核模塊中，只刪除文件的話，會(huì)導(dǎo)致iis的應(yīng)用程序池處于停止?fàn)顟B(tài)，網(wǎng)站打開顯示503報(bào)錯(cuò)。所以在刪除該木馬文件后，需要清理掉iis中相關(guān)的模塊記錄等才能讓iis恢復(fù)正常。
打開iis管理器，點(diǎn)擊模塊

在打開的目錄刪除HttpResetModule，HttpResetModule64 這兩個(gè)模塊

返回iis管理界面，在管理，找到配置編輯器

在配置編輯器，節(jié)點(diǎn)位置選擇system.webServer/globalModules ，然后點(diǎn)擊右側(cè)的 集合元素中的編輯項(xiàng)

到集合編輯器，找到 HttpResetModule 和 HttpResetModule64，然后刪除掉

最后重啟iis，或者重啟服務(wù)器即可。

或

相關(guān)建議：

當(dāng)前，出現(xiàn)被掛馬都是使用2008系統(tǒng)安裝的iis網(wǎng)站搭建工具的服務(wù)器，根本原因還是該系統(tǒng)和工具官方早已經(jīng)停止維護(hù)，系統(tǒng)和iis軟件漏洞過多，導(dǎo)致很容易被黑客利用漏洞進(jìn)行掛馬和入侵等操作，建議可以安裝使用windows版本的寶塔面板軟件，配置nginx（當(dāng)前主流網(wǎng)站搭建工具，具有輕量、高效、安全等特點(diǎn)）網(wǎng)站搭建工具用來搭建網(wǎng)站。

如果客戶因一些特殊原因不方便更換網(wǎng)站搭建工具，仍需要使用iis，建議安裝一些網(wǎng)站安全類工具，例如 網(wǎng)站安全狗、D盾防火墻 等工具，可以提高網(wǎng)站安全性，降低被掛馬風(fēng)險(xiǎn)。

網(wǎng)站安全狗是一款集網(wǎng)站內(nèi)容安全防護(hù)、網(wǎng)站資源保護(hù)及網(wǎng)站流量保護(hù)功能為一體的服務(wù)器工具。功能涵蓋了網(wǎng)馬/木馬掃描、防SQL注入、網(wǎng)頁防篡改功能等模塊。
下載地址：https://www.safedog.cn/install_desc_website.html

D盾防火墻是專為IIS設(shè)計(jì)的一個(gè)主動(dòng)防御的保護(hù)軟件,以內(nèi)外保護(hù)的方式防止網(wǎng)站和服務(wù)器被入侵。
下載地址：https://www.d99net.net/