最近一段时间，有多名客户反馈，其搭建的业务网站在一些特定时间段内会出现被劫持跳转到其他网站现象，而且很多客户网站一起出现该现象，导致客户业务受损，流量被引走的情况。

      客户反馈后，我司人员集合多个技术人员一起检查，发现客户搭建网站的iis工具有被入侵和挂马迹象，导致该服务器上的iis程序搭建的网站都会被跳转到其他网站页面。

分析和定位：

      抓包发现，服务器返回的包里面都会有一条301跳转的数据包，也就是这个数据包将要访问的网站跳转到了其他网站。

在服务器上通过安全软件扫描发现了木马文件 HttpResetModule.dll

且该木马文件已经写入了iis的内核模块中，导致该服务器上使用iis搭建的网站都会被劫持跳转。

处理方法如下：

【1】排查C:\Windows\Microsoft.NET\Framework64 目录下是否有 HttpResetModule.dll这个文件，并删除掉

【2】因该文件已经写入iis的内核模块中，只删除文件的话，会导致iis的应用程序池处于停止状态，网站打开显示503报错。所以在删除该木马文件后，需要清理掉iis中相关的模块记录等才能让iis恢复正常。
打开iis管理器，点击模块

在打开的目录删除HttpResetModule，HttpResetModule64 这两个模块

返回iis管理界面，在管理，找到配置编辑器

在配置编辑器，节点位置选择system.webServer/globalModules ，然后点击右侧的 集合元素中的编辑项

到集合编辑器，找到 HttpResetModule 和 HttpResetModule64，然后删除掉

最后重启iis，或者重启服务器即可。

或

相关建议：

当前，出现被挂马都是使用2008系统安装的iis网站搭建工具的服务器，根本原因还是该系统和工具官方早已经停止维护，系统和iis软件漏洞过多，导致很容易被黑客利用漏洞进行挂马和入侵等操作，建议可以安装使用windows版本的宝塔面板软件，配置nginx（当前主流网站搭建工具，具有轻量、高效、安全等特点）网站搭建工具用来搭建网站。

如果客户因一些特殊原因不方便更换网站搭建工具，仍需要使用iis，建议安装一些网站安全类工具，例如 网站安全狗、D盾防火墙 等工具，可以提高网站安全性，降低被挂马风险。

网站安全狗是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、网页防篡改功能等模块。
下载地址：https://www.safedog.cn/install_desc_website.html

D盾防火墙是专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器被入侵。
下载地址：https://www.d99net.net/