江苏龙网

  1. 主页 > 生活 > >

win10没有internet信息服务 internet信息服务

互联网信息服务(win10没有互联网信息服务)
互联网信息服务是微软公司在运行微软视窗的基础上提供的基本互联网服务 。大部分安装了Windows系统服务器,经常用来运行Web服务 。当这个基础设施成为恶意黑客的目标时,*** 威胁自然随之而来 。

近日,360安全大脑独家发现了一种新型恶意模块,该模块被黑客植入其被攻破的IIS WEB服务器中,并利用该恶意模块替换IIS服务中的一个服务组件,以躲避查杀 。根据360安全大脑的分析,这次攻击最早开始于2020年8月 。黑客攻占了数家知名云服务商的数十台服务器,受影响的网站数量高达数千个 。360安全大脑之一时间发布紧急安全预警 。
攻占公有云主机服务器,“感染蜘蛛”过境千万网站 。
30安全大脑分析显示,被攻击的服务器主要是公有云主机服务器,通常黑客攻占一台公有云主机服务器后,可以直接获得数十个甚至上百个网站的控制权,包括官网 。30安全大脑监测数据显示,此次有数十台服务器遭到攻击,上千个网站受到影响 。
(一些受影响的企业)
针对上述情况,360安全大脑首先对样本进行了分析,然后发现黑客攻破目标服务器后,会下载一个恶意压缩包,里面有五个文件,分别是db.db、dd.cc、e.cc模块、x64.dd和x86.dd,每个文件的作用如下:
Db.db是一个SQLite3数据库文件 。主要包含恶意模块需要的网站模板、关键词等信息 。该文件将被写入IIS目录下的inetsrv\modrqflt.dll:db.db文件,该文件是一个属性为file _ attribute _ integrity _ stream的文件,在目录下不可见 。
Dd.cc是黑客开发的恶意模块安装工具 。黑客可以利用这个工具改变modrqflt.dll的访问控制权限(DACL),从而成功地将modrqflt.dll重命名为cache.dll,将恶意程序重命名为modrqflt.dll 。
E.cc模块用于停止登录受损的服务器 。运行后会遍历线程找到Eventlog服务的线程并停止,从而停止日志功能 。
X64.dd是黑客编写的64位恶意modrqflt.dll,主要用于替换C:\Windows\System32\inetsrv下iis服务器的modrqflt.dll 。
X86.dd是黑客编写的32位恶意modrqflt.dll,主要用于替换C:\Windows\SysWOW64\inetsrv下的modrqflt.dll 。
(黑客攻击目标服务器后下载的恶意压缩包)
Modrqflt.dll是一个提供请求过滤处理器的功能模块 。替换成功后,黑客可以过滤掉正常的网站访问请求,为搜索引擎蜘蛛(爬虫)提供色情素材 。

恶意模块被替换后,当搜索引擎蜘蛛(爬虫)访问网站原有无效链接时,该模块会生成一个包含大量链接的“空白色”页面,将HTTP响应代码从404改为200,欺骗蜘蛛(爬虫) 。获取页面后,Spider会继续访问页面中的所有链接,并提取关键字存储在搜索数据库中 。此时,如果用户搜索相应的关键词,就会返回上述伪造的链接和页面,如果恶意DLL仍然存在,就会直接跳转到 ***。
空白页是一个“透明”的网站,欺骗爬虫和蜘蛛肆无忌惮地搞颜色 。
04页面并不少见,通常是由于服务器地址变更,或者维护不到位等原因 。,导致网站个别链接失效 。一般情况下,搜索引擎蜘蛛抓取这类链接时也会显示404页面,但对于已经被黑客攻破的网站,其无效链接会忽悠蜘蛛,但显示空的白页在源代码中隐藏了大量链接 。

看到这里,你可能会有一些疑问 。赵衷网站如何区分普通用户和爬虫?实际上,当用户用浏览器打开一个网站,浏览器向网站服务器发送请求时,在请求数据的头部会设置一个User-Agent字段,例如,当访问百度:
【win10没有internet信息服务 internet信息服务】
而当搜索引擎抓取时,用户 *** 设置有些不同:
百度蜘蛛
Mozilla/5.0(兼容;baiduspider/2.0;+http://www . Baidu . com/search/spider . html)
30只蜘蛛:
Mozilla/5.0(Windows NT 6.1;WOW64) AppleWebKit/537.36 (KHTML,像壁虎)Chrome/50 . 0 . 2661 . 102 Safari/537.36;360Spider
什么蜘蛛:
Mozilla/5.0(Windows NT 6.1;Win64x64) AppleWebKit/537.36 (KHTML,像壁虎一样)Chrome/69 . 0 . 3497 . 81 YisouSpider/5.0 Safari/537.36
搜狗蜘蛛:
搜狗 *** 蜘蛛/4.0(+http://www . sogou . com/docs/help/webmasters . htm # 07)

在此次事件中,非法黑客下载的恶意模块会通过判断用户 *** 来区分用户和蜘蛛(spider) 。当识别为搜索引擎蜘蛛时,会返回上述100个链接,其中前80个主机名是恶意模块生成的随机页面,与当前网站的主机名一致 。后20个主机名是其他受害网站生成的随机页面,都是接口HXXP://zjlasjsdknlnxsa . com:8081/ping返回的(该接口需要专门的User-Agent才能访问) 。


推荐阅读


上一篇:怎样让眼睛有神

下一篇:为什么华为实体店便宜 京东商城有实体店吗