IISerpent木馬
IISerpent 木馬是一種特殊的惡意軟件威脅,其目標是 Microsoft 的 Internet Information Services Web 服務器軟件。該威脅作為損壞的擴展注入到 IIS 安裝中。與其他 ISS 惡意軟件威脅不同,IISerpent 的目標不是收集敏感信息(信用卡/借記卡號碼)或在受感染系統上執行後門命令。 IISerpent 的功能可以最好地描述為作為服務提供的 SEO(搜索引擎優化)欺詐。該威脅採用不道德的 SEO 技術,即一種稱為黑帽 SEO 的行為,並試圖提高第三方頁面的排名,這些頁面很可能屬於為黑客服務付費的客戶。
目錄
技術細節
IISerpent 是一個原生的 IIS 模塊。它作為 C++ DLL 實現並添加到%windir%\system32\inetsrv\config\ApplicationHost.config文件中。這樣做可確保其在受感染系統上的執行和持久性。一旦完全建立,惡意軟件將開始攔截所有傳入服務器上託管的網站的 HTTP 請求。但是,IISerpent 不會直接影響受感染的服務器或服務器的用戶。惡意軟件將完全忽略來自合法訪問者的任何請求。它只對與搜索引擎爬蟲相關的請求感興趣,然後向它們顯示實際頁面上的不同內容。新內容是從操作的 C&C(命令和控制)服務器或本地配置文件中獲取的。
採用的 SEO 技術
搜索引擎爬蟲負責搜索互聯網並分析他們找到的頁面上的內容。這些機器人掃描的內容通過複雜的算法運行,該算法確定與特定搜索詞相關的每個頁面的排名。提升頁面排名意味著增加可見性和潛在流量。
為了實現這一目標,一些頁面運營商願意採用陰暗的 SEO 策略。 IISerpent 正是依靠此類技術通過利用受感染服務器上網站的排名來提高第三方網站的排名。更具體地說,IISerepent 使用兩個核心方法:
- 它將搜索引擎重定向到一個專門選擇的網站,將其變成一個門口頁面。
- 它將預先配置的反向鏈接列表注入到傳遞給搜索引擎爬蟲的 HTTP 響應中。這種方法有效地將受威脅危害的服務器轉變為鏈接群。
IISerpent 感染的後果
雖然 IISerpent 的行為確實不會以任何方式影響站點的合法訪問者,但不應掉以輕心。該威脅劫持了受感染網站的聲譽,並採用不道德的 SEO 做法來欺騙搜索引擎爬蟲。這兩項活動最終都會被引擎注意到,並可能導致相關網站受到懲罰,而他們卻不願意參與該計劃。之後,清理他們的聲譽並取消處罰可能是一個代價高昂且極其耗時的過程。為避免這種令人不快的結果,請保持 IIS 服務器處於最新狀態,不要從未經證實的來源下載擴展,並考慮在服務器上添加防火牆應用程序或安全解決方案。
