晚上十一点四十，刚准备休息，收到朋友电话，其一个站点被入侵篡改，导致某web接口异常，帮忙远程处理。

　　网页篡改、服务器入侵类事件处理了几年，第一反应是服务器被提权，中了后门，占用CPU、内存等资源，导致站点无法工作。

　　对方管理员登录服务器后，TV链接到管理员电脑，查看为2008R2系统，采用IIS7.5作为web服务，web为.0开发。

　　经过IIS日志查询访问IP，均为香港IP和某存活检测蜘蛛，备份后门文件后删除。

　　查看账户，guest被克隆，备份注册表sam项后手动删除guest账户的键值。

　　查看提权常用的C:\Windows\temp、C:\Windows\debug目录，无任何熟悉的提权脚本和文件，瞬间怀疑人生。

　　怀揣着忐忑的心，看了下目录权限和IIS权限，web目录everyone完全控制，IIS程序池标识为管理员账户！

　　删除完webshell和克隆账户，上了啊D做临时防护，正准备让管理员修改密码并默默杀毒、我下线睡觉。告知站点api接口访问不了。访问接口地址为： 马赛克app/xxx.ashx

　　查看web目录下app目录存在，文件存在，一访问却提示404找不到对象。

　　一般情况下IIS会对asp、php、aspx、ashx等设置处理程序映射。如下图，

　　静态文件也404找不到对象！第一反应，站点根目录fig被篡改，对app路径做了URL重写。（URL重写和J**A的URL路由类似，可直接由站点bin目录下的dll处理）

　　打开web.config查看，有伪静态规则转发请求到app目录下程序处理，但是未对/app/xxx这种路径做任何设置。

　　访问时候切换输入法，大写锁定，发生了奇迹。 马赛克APP/xxx.ashx这种路径竟可以正常请求到，简单测试，aPp、aPP、App都可以访问到。到这里基本确定是IIS上有程序作了URL处理。

　　整个过程瞬间清晰了，这不就简单的url劫持么，判断来路、路径，再选择性返回菠菜信息。常规套路。

　　根据以往经验，查global.asax，一行一行看了2分钟，没有问题，再打开fig看了2分钟，没有问题。

　　建立一个站点，指向IIS默认站点路径，修改百度UA后访问/appxxx验证，的确出现了卖菜信息。

　　查看IIS全局设置中isapi筛选器和模块设置，在模块功能下找到了真凶。

　　找到问题后，处理就比较简单，右键删除模块，然后在配置本机模块功能下，选择刚才删除的模块名，删除、重启IIS即可。

　　在条件满足（路径带app字样且UA为蜘蛛）情况下，IIS进程会请求 路径，并返回请求到的内容。

　　经测试，URL带app、hot字样，均会产生内容劫持，有遇到类似情况的可以参考处理。青岛SEO