IISerpent木马
IISerpent 木马是一种特殊的恶意软件威胁,其目标是 Microsoft 的 Internet Information Services Web 服务器软件。该威胁作为损坏的扩展注入到 IIS 安装中。与其他 ISS 恶意软件威胁不同,IISerpent 的目标不是收集敏感信息(信用卡/借记卡号码)或在受感染系统上执行后门命令。 IISerpent 的功能可以最好地描述为作为服务提供的 SEO(搜索引擎优化)欺诈。该威胁采用不道德的 SEO 技术,即一种称为黑帽 SEO 的行为,并试图提高第三方页面的排名,这些页面很可能属于为黑客服务付费的客户。
目录
技术细节
IISerpent 是一个原生的 IIS 模块。它作为 C++ DLL 实现并添加到%windir%\system32\inetsrv\config\ApplicationHost.config文件中。这样做可确保其在受感染系统上的执行和持久性。一旦完全建立,恶意软件将开始拦截所有传入服务器上托管的网站的 HTTP 请求。但是,IISerpent 不会直接影响受感染的服务器或服务器的用户。恶意软件将完全忽略来自合法访问者的任何请求。它只对与搜索引擎爬虫相关的请求感兴趣,然后向它们显示实际页面上的不同内容。新内容是从操作的 C&C(命令和控制)服务器或本地配置文件中获取的。
采用的 SEO 技术
搜索引擎爬虫负责搜索互联网并分析他们找到的页面上的内容。这些机器人扫描的内容通过复杂的算法运行,该算法确定与特定搜索词相关的每个页面的排名。提升页面排名意味着增加可见性和潜在流量。
为了实现这一目标,一些页面运营商愿意采用阴暗的 SEO 策略。 IISerpent 正是依靠此类技术通过利用受感染服务器上网站的排名来提高第三方网站的排名。更具体地说,IISerepent 使用两个核心方法:
- 它将搜索引擎重定向到一个专门选择的网站,将其变成一个门口页面。
- 它将预先配置的反向链接列表注入到传递给搜索引擎爬虫的 HTTP 响应中。这种方法有效地将受威胁危害的服务器转变为链接群。
IISerpent 感染的后果
虽然 IISerpent 的行为确实不会以任何方式影响站点的合法访问者,但不应掉以轻心。该威胁劫持了受感染网站的声誉,并采用不道德的 SEO 做法来欺骗搜索引擎爬虫。这两项活动最终都会被引擎注意到,并可能导致相关网站受到惩罚,而他们却不愿意参与该计划。之后,清理他们的声誉并取消处罚可能是一个代价高昂且极其耗时的过程。为避免这种令人不快的结果,请保持 IIS 服务器处于最新状态,不要从未经证实的来源下载扩展,并考虑在服务器上添加防火墙应用程序或安全解决方案。
