عندما يفتح الخادم جميع مواقع الويب تقريبًا، تظهر حتى صفحات HTML.
بعض هذا النمط من التعليمات البرمجية موجود في الرأس والبعض الآخر في الجزء الخلفي من برنامج مكافحة الفيروسات وسيقوم بالإبلاغ عن الفيروسات عند فتحه.
لا يمكنني العثور على هذا الرمز في الكود المصدري عندما أفتح صفحة HTML أو ASP PHP.
تحليل الأسباب
أولاً، اشتبهت في وجود برامج ضارة لـ ARP، واستخدمت أدوات مكافحة ARP ولم أجد أي انتحال لـ ARP.
علاوة على ذلك، لا يتم بشكل عام إدراج انتحال ARP في الكود في كل مرة، ولكن في بعض الأحيان وأحيانًا
ويمكنك أيضًا العثور على هذا الرمز عند الوصول باستخدام http://127.0.0.1 أو http://localhost
يتم القضاء على إمكانية انتحال ARP.
ثم اعتقدت أنه ربما تم التلاعب بـ JS أو الملفات المضمنة الأخرى. بعد البحث، لم يتم العثور على صفحات معدلة. حتى عند تصفح صفحة HTML التي تم إنشاؤها حديثًا، سيتم إدراج هذا الرمز، لذلك لا يمكن تعليقه إلا من خلال IIS .
بعد عمل نسخة احتياطية لبيانات iis ثم إعادة تثبيت iis، اختفى الرمز. بعد استعادة نسخة iis الاحتياطية، عادت المشكلة مرة أخرى.
بعد البحث بعناية، يجب أن تكمن المشكلة في ملف تكوين IIS. عندما فتحت ملف التكوين، لم أجد هذا الجزء من التعليمات البرمجية.
من المحتمل جدًا أن يتم استدعاء ملف معين. كيف يمكنني التحقق من ذلك؟ فجأة تذكرت ملف Filemon الشهير.
لقد قمت بتنزيله محليًا وقمت بتحميله على الخادم، وفتحت Filemon وكان هناك الكثير من البيانات، وقمت بتصفية بعض البيانات غير المفيدة.
لم يتبق سوى عملية iis، ولا يزال هناك الكثير من البيانات، ويبدو أن العديد من الأشخاص يزورون الموقع على الخادم.
قم بإغلاق كافة المواقع وإنشاء موقع اختبار anky، والدليل هو D:www وقم بإنشاء صفحة test.htm فارغة أدناه.
قم بزيارة هذه الصفحة، حيث تم إدراج الرمز، وألق نظرة على Filemon، ومن الغريب كيفية قراءة C:Inetpubwwwrootiisstart.htm
افتح C:Inetpubwwwrootiisstart.htm وتأكد من وجوده
احذف الرمز واتركه فارغًا عند الوصول إلى test.htm، فمن الطبيعي حذف C:Inetpubwwwrootiisstart.htm والوصول إليه مرة أخرى.
هذا هو المكان الذي تظهر فيه مشكلة "خطأ في قراءة ملف تذييل البيانات" في test.htm، ويبدو أنه تم استدعاؤه
هذا الملف.
سيكون الأمر طبيعيًا إذا قمت بمسح C:Inetpubwwwrootiisstart.htm. كيف يمكن القيام بذلك لحل المشكلة، يجب عليك بالطبع فصله.
يكمل
هل من الممكن أن يكون السبب هو التمديد؟ راجعته في التمديد وكل شيء طبيعي.
بالطبع، هناك أيضًا أحصنة طروادة من خلال ISAPI.
وبعد الكثير من المداولات، شعرت أخيرًا بوجود خطأ ما في ملف التكوين.
افتح ملف التكوين الموجود في %windir%system32inetsrvMetaBase.xml
افتحه باستخدام برنامج "المفكرة"، وابحث عن iisstart.htm وابحث عن سطر اعتقدت أنه الموقع الافتراضي في البداية، ولكن بعد ذلك اعتقدت أنه خطأ.
تم حذف المواقع الافتراضية ألق نظرة فاحصة على هذا الرمز:
DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"
احذف هذا السطر وسيتم حل المشكلة بالكامل.