В общем рассказываю.
Хакеры каким-то образом, вероятно используя уязвимости в ИИС, смогли установить два нативных модуля IIS:
Scripts.dll и Caches.dll. Загрузка этих модулей была прописана в applicationHost.config
Антивирусы, кстати говоря, эти файлы не детектируют как вирусные. Но, зато, антивирус нашел в системной папке винды троян. К сожалению не записал его название.
Все три файла появились в одно время, как и модификация конфига. Все случилось в начале декабря.
На винду накатил последние обновления (там были KBшки от 24-года), но устранилась ли уязвимость = не понятно.
Ни каких сторонних приложений на сервер не ставилось уже лет 5 как. Поэтому негодяи проникли используя именно существующие уязвимости.
Печально это. Видимо придется поднимать второй сервер с последней виндой и переползать на него.
