解決2003服務(wù)器奇怪的全服掛馬全過程
[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!
一臺(tái)服務(wù)器 幾乎所有網(wǎng)站打開網(wǎng)頁 甚至HTML網(wǎng)頁 都出現(xiàn)了
這種樣式的代碼 有的在頭部 有的在尾部 部分殺毒軟件打開會(huì)報(bào)毒
打開HTML或ASP PHP頁面 在源碼中怎么也找不到這段代碼
分析原因
首先懷疑ARP掛馬,用防ARP的工具又沒有發(fā)現(xiàn)有arp欺騙
而且arp欺騙一般不會(huì)每次都被插入代碼,而是時(shí)有時(shí)無
而且使用http://127.0.0.1 或者h(yuǎn)ttp://localhost 訪問的時(shí)候也可以找到這段代碼
arp欺騙的可能排除。
然后就想到可能是JS被篡改,或者是其它的包含文件,查找后沒有發(fā)現(xiàn)被改的頁面 連新建的HTML頁面瀏覽的時(shí)候也會(huì)被插入這段代碼,那就只能是通過IIS掛上去的了。
備份iis數(shù)據(jù)然后重裝iis,代碼消失,將備份的iis恢復(fù),問題又來了。
仔細(xì)尋找,問題應(yīng)該出在IIS的配置文件上,打開配置文件,沒有發(fā)現(xiàn)那段代碼。
那很有可能是調(diào)用了某個(gè)文件,這個(gè)怎么查啊,忽然想起了大名鼎鼎的Filemon
本地載了一個(gè)上傳到服務(wù)器上,打開Filemon,數(shù)據(jù)太多了,過濾掉一些沒有用的
只留下iis的進(jìn)程,數(shù)據(jù)還是很多,看來服務(wù)器上的站點(diǎn)還是挺多人在訪問的。
關(guān)掉所有站點(diǎn),建了一個(gè)測試站點(diǎn)anky 目錄為D:\www\ 在下面建了一個(gè)空白頁面test.htm
訪問一下這個(gè)頁面代碼被插進(jìn)來了,再看一下Filemon 奇怪怎么讀取C:\Inetpub\wwwroot\iisstart.htm
打開C:\Inetpub\wwwroot\iisstart.htm一看,里面就躺著
把代碼刪除了留空,訪問test.htm 正常了,把C:\Inetpub\wwwroot\iisstart.htm刪除了再訪問
test.htm 出現(xiàn) “讀取數(shù)據(jù)頁腳文件出錯(cuò)”問題就出這里了,看來是調(diào)用了
這個(gè)文件。
把C:\Inetpub\wwwroot\iisstart.htm清空就正常了,這樣怎么行,解決問題當(dāng)然要連根拔掉。
continue
有沒有可能是擴(kuò)展造成的,到擴(kuò)展中檢查了一遍全部都是正常的
當(dāng)然 通過ISAPI 掛馬的也是存在的
左想右想最后還是覺得配置文件有問題
打開配置文件,配置文件在%windir%\system32\inetsrv\MetaBase.xml
用記事本打開,查找iisstart.htm 找到一行,開始以為是默認(rèn)站點(diǎn),后來一想不對啊
默認(rèn)站點(diǎn)都刪除了,再仔細(xì)一看這句代碼為
DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"
刪除掉這一行,問題徹底解決了。
原文網(wǎng)址:http://blog.89zz.com/article.asp?id=298
問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!