一台伺服器幾乎所有網站開啟網頁甚至HTML網頁都出現了
這種樣式的代碼有的在頭部有的在尾部部分殺毒軟體打開會報毒
打開HTML或ASP PHP頁面在原始碼中怎麼也找不到這段程式碼
分析原因
首先懷疑ARP掛馬,用防ARP的工具又沒有發現有arp欺騙
而且arp欺騙一般不會每次都被插入程式碼,而是有時無
而且使用http://127.0.0.1或http://localhost造訪的時候也可以找到這段程式碼
arp欺騙的可能排除。
然後就想到可能是JS被篡改,或是其它的包含文件,查找後沒有發現被改的頁面連新建的HTML頁瀏覽的時候也會被插入這段程式碼,那就只能是透過IIS掛上去的了。
備份iis資料然後重裝iis,程式碼消失,將備份的iis恢復,問題又來了。
仔細尋找,問題應該出在IIS的設定檔上,打開設定文件,沒有發現那段程式碼。
那很有可能是呼叫了某個文件,這個怎麼查啊,忽然想起了大名鼎鼎的Filemon
本地載了一個上傳到伺服器上,打開Filemon,資料太多了,過濾掉一些沒用的
只留下iis的進程,數據還是很多,看來伺服器上的站點還挺多人在訪問的。
關掉所有網站,建了一個測試站點anky 目錄為D:www 在下面建了一個空白頁test.htm
訪問一下這個頁面程式碼被插進來了,再看一下Filemon 奇怪怎麼讀取C:Inetpubwwwrootiisstart.htm
打開C:Inetpubwwwrootiisstart.htm一看,裡面就躺著
把程式碼刪除了留空,訪問test.htm 正常了,把C:Inetpubwwwrootiisstart.htm刪除了再訪問
test.htm 出現「讀取資料頁腳檔案出錯」問題就出這裡了,看來是呼叫了
這個文件。
把C:Inetpubwwwrootiisstart.htm清空就正常了,這樣怎麼行,解決問題當然要連根拔掉。
continue
有沒有可能是擴充造成的,到擴充中檢查了一遍全部都是正常的
當然透過ISAPI 掛馬的也是存在的
左想右想最後還是覺得設定檔有問題
開啟設定文件,設定檔在%windir%system32inetsrvMetaBase.xml
用記事本打開,查找iisstart.htm 找到一行,開始以為是預設站點,後來一想不對啊
預設網站都刪除了,再仔細一看這句程式碼為
DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"
刪除掉這一行,問題徹底解決了。