win10没有internet信息服务 internet信息服务 _蜘蛛

internet信息服务（win10没有internet信息服务）
互联网信息服务（Internet Information Services）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务，大多数Windows系统服务器均有安装，常用来运行Web服务。而当这一底层架构被恶意黑客盯上，网络威胁自然随之而来。

近日，360安全大脑独家发现一新型恶意模块，被黑客植入其攻陷的IIS WEB服务器，并利用该恶意模块替换IIS服务中的一个服务组件，躲避检测查杀。经360安全大脑分析，本次攻击事件最早开始于2020年8月，黑客攻陷数个知名云服务提供商的数十台服务器，受影响网站数量高达几千例，360安全大脑第一时间发出紧急安全预警。
攻陷公用云主机服务器，"染毒蜘蛛"过境数千网站
360安全大脑分析发现，被攻击服务器主要为公用云主机服务器，且通常黑客攻陷一个公用云主机服务器后，即可直接获得几十甚至上百个网站的控制权，其中不乏企业官网。360安全大脑监测数据显示，此次遭攻击服务器高达数十台，几千个网站受波及。
（部分受害企业）
鉴于上述情况，360安全大脑第一时间对样本展开分析，随后发现黑客在攻陷目标服务器后，会从网上下载一个包含db.db、dd.cc、e.cc模块、x64.dd、x86.dd五个文件的恶意压缩包，各文件功能具体如下：
db.db 是一个SQLite3数据库文件。主要包含恶意模块需要的网站模版及关键字等信息，此文件后续会被写入IIS目录下的inetsrvmodrqflt.dll:db.db文件中，这是一个拥有
FILE_ATTRIBUTE_INTEGRITY_STREAM属性的文件，在目录下不可见。
dd.cc是黑客开发的恶意模块安装工具。黑客使用该工具可改变modrqflt.dll的访问控制权限(DACL)，从而成功将modrqflt.dll重命名为cache.dll，并将恶意程序改名为modrqflt.dll 。
【win10没有internet信息服务 internet信息服务】e.cc模块是用来停止被攻陷服务器日志记录的功能。运行之后，其会遍历线程找到Eventlog服务的线程并停止，以此来停止日志记录的功能。
x64.dd为黑客编写的64位恶意modrqflt.dll，主要用来替换C:WindowsSystem32inetsrv下iis服务器自带的modrqflt.dll 。
x86.dd 则是黑客编写的32位恶意modrqflt.dll，主要用来替换C:WindowsSysWOW64inetsrv下的modrqflt.dll 。
（黑客攻陷目标服务器后下载的恶意压缩包）
modrqflt.dll是提供请求过滤处理（Request filtering handler）的功能模块，而成功替换后，黑客便可以过滤掉网站正常访问请求，专门为搜索引擎蜘蛛（爬虫）提供色情素材。

完成恶意模块的替换后，当搜索引擎蜘蛛（爬虫）访问网站原本失效链接时，此模块即会生成一个包含大量链接的"空白"页面，并将HTTP响应码由404改为200来欺骗"蜘蛛"（爬虫）。而"蜘蛛"在获取该页面后，会继续访问页面中的所有链接，并抽取关键字存入搜索数据库。此时，如果有用户搜索对应关键词，就会返回上述伪造链接及页面，如果恶意DLL仍然存在，则会直接跳转到色情网站。

win10没有internet信息服务 internet信息服务

猜你喜欢