Lorsqu'un serveur ouvre presque tous les sites Web, même les pages HTML apparaissent.
<iframe src=" http://xxxdfsfd/web.htm " hauteur=0 largeur=0></iframe>
Une partie de ce style de code se trouve dans la partie tête et une autre dans la partie queue. Le logiciel antivirus signalera les virus une fois ouvert.
Je ne trouve pas ce code dans le code source lorsque j'ouvre la page HTML ou ASP PHP.
Analyser les raisons
Tout d’abord, j’ai soupçonné un malware ARP. J’ai utilisé des outils anti-ARP et je n’ai trouvé aucune usurpation d’arp.
De plus, l'arp spoofing n'est généralement pas inséré dans le code à chaque fois, mais parfois et parfois
Et vous pouvez également trouver ce code lors de l'accès en utilisant http://127.0.0.1 ou http://localhost
La possibilité d’usurpation d’arp est éliminée.
Ensuite, j'ai pensé que le JS avait peut-être été falsifié ou que d'autres fichiers inclus. Après la recherche, aucune page modifiée n'a été trouvée. Même lors de la navigation sur la page HTML nouvellement créée, ce code sera inséré, il ne pourra donc être suspendu que via IIS. .
Après avoir sauvegardé les données iis puis réinstallé iis, le code a disparu. Après avoir restauré l'iis sauvegardé, le problème est revenu.
Après une recherche approfondie, le problème devrait résider dans le fichier de configuration IIS. Lorsque j'ai ouvert le fichier de configuration, je n'ai pas trouvé ce morceau de code.
Il est très probable qu'un certain fichier soit appelé. Comment puis-je vérifier cela ? Je me suis soudainement souvenu du fameux Filemon.
J'en ai téléchargé un localement et je l'ai téléchargé sur le serveur. J'ai ouvert Filemon. Il y avait trop de données, j'en ai filtré certaines inutiles.
Il ne reste que le processus iis et il reste encore beaucoup de données. Il semble que de nombreuses personnes visitent le site sur le serveur.
Fermez tous les sites et créez un site de test anky. Le répertoire est D:www et créez une page vierge test.htm ci-dessous.
Visitez cette page, le code a été inséré et jetez un œil à Filemon. C'est étrange de savoir comment lire C:Inetpubwwwrootiisstart.htm.
Ouvrez C:Inetpubwwwrootiisstart.htm et voyez qu'il y a
<iframe src=" http://xxxdfsfd/web.htm " hauteur=0 largeur=0></iframe>
Supprimez le code et laissez-le vide. Lors de l'accès à test.htm, il est normal de supprimer C:Inetpubwwwrootiisstart.htm et d'y accéder à nouveau.
C'est là que le problème "Erreur de lecture du fichier de pied de page des données" apparaît dans test.htm. Il semble que cela s'appelle.
ce fichier.
Ce sera normal si vous effacez C:Inetpubwwwrootiisstart.htm. Comment faire pour résoudre le problème, vous devez bien sûr le débrancher.
continuer
Est-il possible que cela soit dû à une extension ? Je l'ai vérifié dans l'extension et tout est normal.
Bien entendu, il existe également des chevaux de Troie via ISAPI.
Après de longues délibérations, j'ai finalement senti qu'il y avait un problème avec le fichier de configuration.
Ouvrez le fichier de configuration, qui se trouve dans %windir%system32inetsrvMetaBase.xml
Ouvrez-le avec le Bloc-notes, recherchez iisstart.htm et trouvez une ligne. Au début, je pensais que c'était le site par défaut, mais j'ai ensuite pensé que c'était faux.
Les sites par défaut ont été supprimés. Regardez de plus près ce code :
DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"
Supprimez cette ligne et le problème est complètement résolu.