最近一段時間，有多名客戶反饋，其搭建的業務網站在一些特定時間段內會出現被劫持跳轉到其他網站現象，而且很多客戶網站一起出現該現象，導致客戶業務受損，流量被引走的情況。

      客戶反饋后，我司人員集合多個技術人員一起檢查，發現客戶搭建網站的iis工具有被入侵和掛馬跡象，導致該服務器上的iis程序搭建的網站都會被跳轉到其他網站頁面。

分析和定位：

      抓包發現，服務器返回的包里面都會有一條301跳轉的數據包，也就是這個數據包將要訪問的網站跳轉到了其他網站。

在服務器上通過安全軟件掃描發現了木馬文件 HttpResetModule.dll

且該木馬文件已經寫入了iis的內核模塊中，導致該服務器上使用iis搭建的網站都會被劫持跳轉。

處理方法如下：

【1】排查C:\Windows\Microsoft.NET\Framework64 目錄下是否有 HttpResetModule.dll這個文件，并刪除掉

【2】因該文件已經寫入iis的內核模塊中，只刪除文件的話，會導致iis的應用程序池處于停止狀態，網站打開顯示503報錯。所以在刪除該木馬文件后，需要清理掉iis中相關的模塊記錄等才能讓iis恢復正常。
打開iis管理器，點擊模塊

在打開的目錄刪除HttpResetModule，HttpResetModule64 這兩個模塊

返回iis管理界面，在管理，找到配置編輯器

在配置編輯器，節點位置選擇system.webServer/globalModules ，然后點擊右側的 集合元素中的編輯項

到集合編輯器，找到 HttpResetModule 和 HttpResetModule64，然后刪除掉

最后重啟iis，或者重啟服務器即可。

或

相關建議：

當前，出現被掛馬都是使用2008系統安裝的iis網站搭建工具的服務器，根本原因還是該系統和工具官方早已經停止維護，系統和iis軟件漏洞過多，導致很容易被黑客利用漏洞進行掛馬和入侵等操作，建議可以安裝使用windows版本的寶塔面板軟件，配置nginx（當前主流網站搭建工具，具有輕量、高效、安全等特點）網站搭建工具用來搭建網站。

如果客戶因一些特殊原因不方便更換網站搭建工具，仍需要使用iis，建議安裝一些網站安全類工具，例如 網站安全狗、D盾防火墻 等工具，可以提高網站安全性，降低被掛馬風險。

網站安全狗是一款集網站內容安全防護、網站資源保護及網站流量保護功能為一體的服務器工具。功能涵蓋了網馬/木馬掃描、防SQL注入、網頁防篡改功能等模塊。
下載地址：https://www.safedog.cn/install_desc_website.html

D盾防火墻是專為IIS設計的一個主動防御的保護軟件,以內外保護的方式防止網站和服務器被入侵。
下載地址：https://www.d99net.net/