案例1
现象:
网站除动态页面,图片文件外在客户端访问时在文件尾均被加上了恶意代码(js script) 可以直接访问调用的js文件及网站文件另存到本地可以看到末尾加的代码, 检查服务器本身这些文件没有被改, 初步分析是在输出到客户端是加上的, 1 http流被截获加上代码后再输出到客户端, 2 web 服务器iis在输出客户端时加上的,
解决办法: 后经查此次中招系第二种方法所为, iis 网站-属性-文档页 启用文档脚本被选上, 且在 C:\WINDOWS\system32\inetsrv目录下多了个 iislog.htm文件,此文件里正好是恶意代码,每次输出到客户端时在文档末尾加上了这个. 怀疑此也是iis的一个漏洞, 因为一般的用户是没有权限修改这个目录. 删除此文件并把启用文档脚本禁止即可.