NWP>Тут сложно. Очень много модулей и не понятно что за что отвечает. Подозреваю, что где-то там.

Думаю, это как раз вряд ли. Скорее конфиги. Но можно закинуть список модулей в ИИ и спросить, нет ли подозрительных.

Здравствуйте, NWP, Вы писали:

NWP>В каком направлении хоть смотреть то?

Похоже, что чпокнули винду или сам IIS на уровне системы.

А у вас IIS прямо в интернет смотрит? Если что, то в винде, на мой взгляд, очень угрюмая реализация стека HTTP на уровне ядра (http.sys). Это дает производительность, но также создает широкое поле для уязвимостей. Поэтому IIS лучше никогда напрямую в интернет не выставлять, а доступ к нему обеспечивать через реверсивный HTTP прокси на Unix, используя nginx и подобные решения.

Здравствуйте, NWP, Вы писали:

NWP>IIS, Windows Server 2012 R2

Windows Server 2012 R2 — эта ОС снята с поддержки 10 октября 2023 года. Поэтому хакеры, по всей видимости, воспользовались незапатченной уязвимостью.

Единственный верный путь: сносить эту ОС, и переставлять ПО с дистрибутивов на более новые версии. Даже если вы найдете и удалите модуль, который отдает зловредный контент, это не гарантирует того, что ваша система не заражена по самые помидоры спящими бекдорами и дропперами.

Здравствуйте, NWP, Вы писали:

NWP>Здравствуйте, Ziaw, Вы писали:

Z>>Здравствуйте, NWP, Вы писали:

Z>>Судя по картине взломали кабинет регистратора либо DNS твоего домена. Создали сабдомен, смотрящий на их сервер и положили туда видео.

NWP>В ДНС все нормально.

"subdomain1.myvebsite.com" без соответсвующей DNS записи не будет доступен в принципе.

Если Вы эту запись не создавали, то кто-то её добавил за вас и это таки ДНС.

Если сабдомен Ваш, то взломали Ваш сервер.

Здравствуйте, NWP, Вы писали:

В общем рассказываю.
Хакеры каким-то образом, вероятно используя уязвимости в ИИС, смогли установить два нативных модуля IIS:
Scripts.dll и Caches.dll. Загрузка этих модулей была прописана в applicationHost.config
Антивирусы, кстати говоря, эти файлы не детектируют как вирусные. Но, зато, антивирус нашел в системной папке винды троян. К сожалению не записал его название.
Все три файла появились в одно время, как и модификация конфига. Все случилось в начале декабря.
На винду накатил последние обновления (там были KBшки от 24-года), но устранилась ли уязвимость = не понятно.
Ни каких сторонних приложений на сервер не ставилось уже лет 5 как. Поэтому негодяи проникли используя именно существующие уязвимости.

Печально это. Видимо придется поднимать второй сервер с последней виндой и переползать на него.

Здравствуйте, NWP, Вы писали:

NWP>Печально это. Видимо придется поднимать второй сервер с последней виндой и переползать на него.
https://rsdn.org/forum/shareware/9033309.1

Автор: Aquilaware
Дата: 17.12 03:50

послушай умного человека
(а лучше вали с винды совсем)