某天,網站被黑。出現了不和諧的內容。查了一下,其實這個套路十年前就有了。
基礎環境
Windows Server 2012R2,不知道什麼時候裝的,從未打過補丁。
IIS 除了 FTP 和 IIS6 相容,其他全勾。
Asp.net MVC 5 。
Framework 4.5。
沒有安裝任何防黑防毒軟體。
被黑表現
如果使用者從百度搜尋到網站,並點選連結跳轉到網站內的一個原本不存在的頁面(也就是原本應該 404 的頁面)。那麼瀏覽器就會被重定向到一個不和諧網站。
因此得知觸發這個問題必須,HTTP 請求必須具備兩個條件:
- 這個頁面對應地址原本是 404 頁面
- 求請求中表明瞭上一頁來自搜尋引擎,即 Referrer 來自搜尋引擎
作案手法
- 篡改 Global.asax 內容,加入 runat=”server” 程式碼。
- 使用 Easy File Locker 隱藏 Global.asax 檔案,使得管理員無法修改或覆蓋該檔案。
應對方法
-
安裝 Easy File Locker ,解除 Global.asax 檔案的隱藏和防寫。
需要接觸 Easy File Locker 的密碼限制,參考連結。
-
刪除 Global.asax 中的惡意程式碼。
-
完畢。
後續
- 壓根不知道黑客如何入侵,刪伺服器!
- 新伺服器裝點防黑防毒軟體吧。