年底了，网站被挂马了，关于IIS被陌生DLL劫持（新人发帖，写的不好的地方，请多多担待）

一上班被分到两个需要杀毒的站点，情况是SEO被劫持

 

出现一些博彩信息，但是打开确实正常内容，使用站长工具的网站被黑检测功能，发现网站的HEAD前面加载一对加密的东西

 一开始我使用D盾扫描网站，删除了一些后门文件，然后再去站长工具检测，发现还是属于被黑的情况。

 然后我去排查一下站点的配置文件，查看一下是否被篡改引用了一些陌生的DLL文件，一番查询未果。

接着我想是不是被注入了IIS模块，接着我用D盾的查询IIS模块功能，发现了两个莫名奇妙的DLL

 （PS:这个图是我本机的，当时杀毒的时候没有截图，凑活看一下）

两个模块隐藏在C:\Windows\Microsoft.NET 目录下，名字叫 HttpResetModule.DLL HttpResetModule64.DLL

你可以在D盾删除这两个模块，或者在IIS=》模块里面找到 然后删除对应的模块，重启IIS

 

 删除DLL之后，然后使用 站长工具 > 网站被黑检测 检测一下被劫持SEO的链接，你就会神奇的发现爬虫能爬到正常的SEO了

 然后百度的信息，就需要百度爬虫自行抓取，或者自行反馈