一上班被分到两个需要杀毒的站点,情况是SEO被劫持
出现一些博彩信息,但是打开确实正常内容,使用站长工具的网站被黑检测功能,发现网站的HEAD前面加载一对加密的东西
一开始我使用D盾扫描网站,删除了一些后门文件,然后再去站长工具检测,发现还是属于被黑的情况。
然后我去排查一下站点的配置文件,查看一下是否被篡改引用了一些陌生的DLL文件,一番查询未果。
接着我想是不是被注入了IIS模块,接着我用D盾的查询IIS模块功能,发现了两个莫名奇妙的DLL
(PS:这个图是我本机的,当时杀毒的时候没有截图,凑活看一下)
两个模块隐藏在C:\Windows\Microsoft.NET 目录下,名字叫 HttpResetModule.DLL HttpResetModule64.DLL
你可以在D盾删除这两个模块,或者在IIS=》模块里面找到 然后删除对应的模块,重启IIS
删除DLL之后,然后使用 站长工具 > 网站被黑检测 检测一下被劫持SEO的链接,你就会神奇的发现爬虫能爬到正常的SEO了
然后百度的信息,就需要百度爬虫自行抓取,或者自行反馈