服務(wù)器被ARP掛馬

　一臺服務(wù)器 幾乎所有網(wǎng)站打開網(wǎng)頁 甚至HTML網(wǎng)頁 都出現(xiàn)了

　　<iframe src="" height=0 width=0></iframe>

　　這種樣式的代碼 有的在頭部　有的在尾部 部分殺毒軟件打開會報毒

　　打開HTML或ASP PHP頁面 在源碼中怎么也找不到這段代碼

　　分析原因

　　首先懷疑ARP掛馬， 用防ＡＲＰ的工具又沒有發(fā)現(xiàn)有arp欺騙

　　而且arp欺騙一般不會每次都被插入代碼， 而是時有時無

　　而且使用 或者 訪問的時候也可以找到這段代碼

　　arp欺騙的可能排除。

　　然后就想到可能是JS被篡改， 或者是其它的包含文件， 查找后沒有發(fā)現(xiàn)被改的頁面 連新建的HTML頁面瀏覽的時候也會被插入這段代碼， 那就只能是通過ＩＩＳ掛上去的了。

　　備份iis數(shù)據(jù)然后重裝iis， 代碼消失， 將備份的iis恢復(fù)， 問題又來了。

　　仔細尋找， 問題應(yīng)該出在IIS的配置文件上， 打開配置文件， 沒有發(fā)現(xiàn)那段代碼。

　　那很有可能是調(diào)用了某個文件， 這個怎么查啊， 忽然想起了大名鼎鼎的Filemon

　　本地載了一個上傳到服務(wù)器上， 打開Filemon， 數(shù)據(jù)太多了， 過濾掉一些沒有用的

　　只留下iis的進程， 數(shù)據(jù)還是很多， 看來服務(wù)器上的站點還是挺多人在訪問的。

　　關(guān)掉所有站點,建了一個測試站點anky 目錄為D:www　在下面建了一個空白頁面test.htm

　　訪問一下這個頁面代碼被插進來了， 再看一下Filemon　奇怪怎么讀取C:Inetpubwwwrootiisstart.htm

　　打開C:Inetpubwwwrootiisstart.htm一看， 里面就躺著

　　<iframe src="" height=0 width=0></iframe>

　　把代碼刪除了留空， 訪問test.htm 正常了， 把C:Inetpubwwwrootiisstart.htm刪除了再訪問

　　test.htm　出現(xiàn)　“讀取數(shù)據(jù)頁腳文件出錯”問題就出這里了， 看來是調(diào)用了

　　這個文件。

　　把C:Inetpubwwwrootiisstart.htm清空就正常了， 這樣怎么行， 解決問題當然要連根拔掉。

　　continue

　　有沒有可能是擴展造成的， 到擴展中檢查了一遍全部都是正常的

　　當然 通過ISAPI 掛馬的也是存在的

　　左想右想最后還是覺得配置文件有問題

　　打開配置文件， 配置文件在%windir%system32inetsrvMetaBase.xml

　　用記事本打開， 查找iisstart.htm　找到一行， 開始以為是默認站點， 后來一想不對啊

　　默認站點都刪除了， 再仔細一看這句代碼為

　　DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"

　　刪除掉這一行， 問題徹底解決了。