最近一段時間，有多名客戶反饋，其搭建的業(yè)務(wù)網(wǎng)站在一些特定時間段內(nèi)會出現(xiàn)被劫持跳轉(zhuǎn)到其他網(wǎng)站現(xiàn)象，而且很多客戶網(wǎng)站一起出現(xiàn)該現(xiàn)象，導致客戶業(yè)務(wù)受損，流量被引走的情況。

      客戶反饋后，我司人員集合多個技術(shù)人員一起檢查，發(fā)現(xiàn)客戶搭建網(wǎng)站的iis工具有被入侵和掛馬跡象，導致該服務(wù)器上的iis程序搭建的網(wǎng)站都會被跳轉(zhuǎn)到其他網(wǎng)站頁面。

分析和定位：

      抓包發(fā)現(xiàn)，服務(wù)器返回的包里面都會有一條301跳轉(zhuǎn)的數(shù)據(jù)包，也就是這個數(shù)據(jù)包將要訪問的網(wǎng)站跳轉(zhuǎn)到了其他網(wǎng)站。

在服務(wù)器上通過安全軟件掃描發(fā)現(xiàn)了木馬文件 HttpResetModule.dll

且該木馬文件已經(jīng)寫入了iis的內(nèi)核模塊中，導致該服務(wù)器上使用iis搭建的網(wǎng)站都會被劫持跳轉(zhuǎn)。

處理方法如下：

【1】排查C:\Windows\Microsoft.NET\Framework64 目錄下是否有 HttpResetModule.dll這個文件，并刪除掉

【2】因該文件已經(jīng)寫入iis的內(nèi)核模塊中，只刪除文件的話，會導致iis的應用程序池處于停止狀態(tài)，網(wǎng)站打開顯示503報錯。所以在刪除該木馬文件后，需要清理掉iis中相關(guān)的模塊記錄等才能讓iis恢復正常。
打開iis管理器，點擊模塊

在打開的目錄刪除HttpResetModule，HttpResetModule64 這兩個模塊

返回iis管理界面，在管理，找到配置編輯器

在配置編輯器，節(jié)點位置選擇system.webServer/globalModules ，然后點擊右側(cè)的 集合元素中的編輯項

到集合編輯器，找到 HttpResetModule 和 HttpResetModule64，然后刪除掉

最后重啟iis，或者重啟服務(wù)器即可。

或

相關(guān)建議：

當前，出現(xiàn)被掛馬都是使用2008系統(tǒng)安裝的iis網(wǎng)站搭建工具的服務(wù)器，根本原因還是該系統(tǒng)和工具官方早已經(jīng)停止維護，系統(tǒng)和iis軟件漏洞過多，導致很容易被黑客利用漏洞進行掛馬和入侵等操作，建議可以安裝使用windows版本的寶塔面板軟件，配置nginx（當前主流網(wǎng)站搭建工具，具有輕量、高效、安全等特點）網(wǎng)站搭建工具用來搭建網(wǎng)站。

如果客戶因一些特殊原因不方便更換網(wǎng)站搭建工具，仍需要使用iis，建議安裝一些網(wǎng)站安全類工具，例如 網(wǎng)站安全狗、D盾防火墻 等工具，可以提高網(wǎng)站安全性，降低被掛馬風險。

網(wǎng)站安全狗是一款集網(wǎng)站內(nèi)容安全防護、網(wǎng)站資源保護及網(wǎng)站流量保護功能為一體的服務(wù)器工具。功能涵蓋了網(wǎng)馬/木馬掃描、防SQL注入、網(wǎng)頁防篡改功能等模塊。
下載地址：https://www.safedog.cn/install_desc_website.html

D盾防火墻是專為IIS設(shè)計的一個主動防御的保護軟件,以內(nèi)外保護的方式防止網(wǎng)站和服務(wù)器被入侵。
下載地址：https://www.d99net.net/