Mcafee之我见 * 一个木马引发的“麦咖啡”

之前老是拼错，“Macfee”or“Mcafee”。

最近Web服务器被挂马，管理这台服务器可是相当的头痛，上面100多个站，全是低端用户，用什么程序的都有，html，asp，asp.net1.1，asp.net2.0，jsp等，网站的后门造成了这次挂马事件。

先贴两张图：

挂马原因分析：一般为sql注入或arp攻击所致。

挂马后症状：

    服务器管理员用户增多，常见为admin$,123456，iis_user等名称的高权用户；Guest用户被开启，

IIS设置被修改（筛选器被乱改，文档栏被改），

System目录里被强制添加文件(如：C:\WINDOWS\system32\inetsrv\IIS_AD.dll  IIS_AD.ini 等)

。

为了不做系统，我先后用360，Mcafee，金山贝壳，狂扫不止，但是无法清楚，最后用强制删除与粉碎工具将垃圾文件删除。

 

最后选择使用Mcafee。

优点，能够自己设置规则。

缺点，不会设置规则的话会很麻烦。

 

到《丁香鱼(http://www.luckfish.net)》下载你所需要的Mcafee,建议使用企业版，体积小。

在安装完成后，下载一个 《McAfee8.5i规则包》，

这个规则包建议只使用里面的 “访问保护VS自定义保护.reg”，关闭麦咖啡后双击规则文件即可。

 

然后根据自己的实际情况，启用或删除一些规则即可。

 

 ============================================================================

木马来自这个垃圾东西：

原理很简单，就是在IIS应用程序池isapi，特点是解决了win2003假死问题，缩短IIS应用池回收时间。
测试环境WIN2003+IIS XPSP2+IIS    WIN2000没测试。
首先打开GetID.exe获取注册号，运行IIS_AD.exe生成DLL文件，加载到IIS应用池就OK了
有了他服务器任何的一个页面都会有广告代码或者网马代码。
之后修改IIS_AD.ini里的内容：
[IIS_AD]
ADjs=
支持iframe以及script 标签。

 

在此先臭骂一顿安全警戒线，你写这个东西，不管是出于什么思想，但是总有人拿来害人，那你就该死。

 

注意，遇到这种东西的，用麦咖啡设置规则，阻止其运行。

==============================================================================

这个木马是过免杀的，你必须做好严密的策略来阻止其运行，比如一切程序不能建立服务器登陆用户。

所有盘符内不能创建含IIS_AD.dll 类的文件。