一次IIS问题排查

Posted 2021-02-20 那时阳光满地

这两天，服务器发生了一件非常奇怪的事情。
所有的图片都无法打开。确认路径什么的都是没有问题的。
最后经常多次排查发现，如果图片的文件名以20**开头的，都显示不了，如果是其它格式的图片，那就没问题。
所以，把目光集中在全局处理的问题上。
同时，也检查到，无论是新旧站点，都会存在相同的问题。
那极有可能是IIS的根配置文件applicationHost.config出现了问题。
打开配置文件，一头雾水，看不清各个配置文件的关系。
好吧，找一个正式的配置文件，用BC对比一下。
发现有一个非常可疑的地方：

这玩意httpevt.dll直接在正常的配置文件里，是搜不到的。
好，先干掉。（注意备份啊）
下面还有一个，也干掉。

重新IIS，站点正常了，问题修复。
问题是，放狗搜了一下相关的关键词，一直没有找到什么东西。感觉是被放了木马，又无从下手。先把文件干掉吧。

看样子，不像是病毒，估计是一个规则处理类。

文件名称 :httpevt.dll
文件大小 :332288 byte
文件类型 :PE32+ executable for MS Windows (DLL) (GUI) Mono/.Net assembly
MD5:a8c4c4691cb007424509d035a64d619c
SHA1:329c649cfd7ea1ce12c02300863d5eb3e52fda3c
SHA256:e9ecdb8260c365e87538b9467aee2a105262eb080f9d246217e65c64eff7c776
SSDEEP:6144:OnYSIu7l35/sX0LYQPFeNmutKcjMHwOgohrg7CYmc:0fIm/sELRTcAQOgot