记一次IIS劫持处置(2)

点开啊D，进程查看，定位到web进程，w3wp.exe

查：

查看IIS全局设置中isapi筛选器和模块设置，在模块功能下找到了真凶。

找到问题后，处理就比较简单，右键删除模块，然后在配置本机模块功能下，选择刚才删除的模块名，删除、重启IIS即可。

访问app路径验证，终于出现了久违的找不到对象提示。

简单分析：

通过在测试服务器上加载dll并触发事件，抓包查看到如下流量：

剩下的由管理员查杀后门，临时恢复业务，择日重新部署新系统并加固。

由于当年300百元拜师费没有拜逆向师傅，只能从流量层面做简单分析。

经测试，URL带app、hot字样，均会产生内容劫持，有遇到类似情况的可以参考处理。

感兴趣的可以下载dll文件做复现或分析：

链接: https://pan.baidu.com/s/1cBo6Nob7Uhv2PHg7ySYIQA