Quando um servidor abre quase todos os sites, até páginas HTML aparecem.
Parte desse estilo de código está na parte inicial e parte na parte final do software antivírus reportará vírus quando aberto.
Não consigo encontrar esse código no código-fonte quando abro a página HTML ou ASP PHP.
Analise os motivos
Primeiro, suspeitei de malware ARP. Usei ferramentas anti-ARP e não encontrei falsificação de ARP.
Além disso, a falsificação de arp geralmente não é inserida no código todas as vezes, mas às vezes e às vezes
E você também pode encontrar esse código ao acessar usando http://127.0.0.1 ou http://localhost
A possibilidade de falsificação de arp é eliminada.
Então pensei que o JS poderia ter sido adulterado ou outros arquivos incluídos. Após a pesquisa, nenhuma página modificada foi encontrada. Mesmo ao navegar na página HTML recém-criada, esse código será inserido, portanto só poderá ser desligado através do IIS. .
Depois de fazer backup dos dados do iis e reinstalar o iis, o código desapareceu. Depois de restaurar o backup do iis, o problema voltou.
Depois de pesquisar cuidadosamente, o problema deve estar no arquivo de configuração do IIS. Quando abri o arquivo de configuração, não encontrei esse trecho de código.
É muito provável que um determinado arquivo esteja sendo chamado. Como posso verificar isso de repente me lembrei do famoso Filemon.
Baixei um localmente e carreguei no servidor. Abri o Filemon. Havia muitos dados e filtrei alguns inúteis.
Resta apenas o processo iis e ainda há muitos dados. Parece que muitas pessoas estão visitando o site no servidor.
Feche todos os sites e crie um site de teste anky. O diretório é D:www e crie uma página em branco test.htm abaixo.
Visite esta página, o código foi inserido, e dê uma olhada no Filemon. É estranho como se lê C:Inetpubwwwrootiisstart.htm.
Abra C:Inetpubwwwrootiisstart.htm e veja se existe
Exclua o código e deixe em branco Ao acessar test.htm, é normal excluir C:Inetpubwwwrootiisstart.htm e acessá-lo novamente.
É aqui que aparece o problema de "Erro ao ler o arquivo de rodapé de dados" em test.htm.
este arquivo.
Será normal se você limpar C:Inetpubwwwrootiisstart.htm. Como isso pode ser feito, é claro que você precisa desconectá-lo.
continuar
É possível que seja causado por uma extensão. Verifiquei na extensão e está tudo normal.
Claro, também existem Trojans Trojan através de ISAPI.
Depois de muita deliberação, finalmente senti que havia algo errado com o arquivo de configuração.
Abra o arquivo de configuração, localizado em %windir%system32inetsrvMetaBase.xml
Abra-o com o Bloco de Notas, pesquise iisstart.htm e encontre uma linha que inicialmente pensei que fosse o site padrão, mas depois pensei que estava errado.
Os sites padrão foram excluídos. Dê uma olhada neste código:
DefaultDocFooter="ARQUIVO:C:Inetpubwwwrootiisstart.htm"
Exclua esta linha e o problema estará completamente resolvido.