游客

标题:WIN2003服务器IIS被挂马该怎么处理呢？
正文:
如果你的网站打开出现这样的,但是在后台也没有找到此代码，先问问同一台服务器上面的人时候都遇到这样的问题，你就该怀疑ARP挂马，用防ARP的工具又没有发现有arp欺骗 。而且arp欺骗一般不会每次都被插入代码，而是时有时无而且使用http://127.0.0.1 或者http://localhost 访问的时候也可以找到这段代码，arp欺骗的可能排除。 在看看是否是被篡改了js代码，或者是其它的包含文件。查找后没有发现被改的页面 连新建的HTML页面浏览的时候也会被插入这段代码，那就只能是通过IIS挂上去的了。如果你重新备份iis数据然后重装iis，代码消失，将备份的iis恢复，问题又来了，问题应该出在IIS的配置文件上，打开配置文件，没有发现那段代码。 给大家介绍一个工具Filemon，打开Filemon，数据太多了，过滤掉一些没有用的只留下iis的进程，数据还是很多，看来服务器上的站点还是挺多人在访问的。 ​关掉所有站点,建了一个测试站点anky 目录为D:\www\　在下面建了一个空白页面test.htm​l。C:\Inetpub\wwwroot\iisstart.htm打开C:\Inetpub\wwwroot\iisstart.htm一看，里面就躺着 把代码删除了留空，访问test.htm 正常了，把C:\Inetpub\wwwroot\iisstart.htm删除了再访问test.htm　出现　“读取数据页脚文件出错”问题就出这里了，看来是调用了这个文件。把C:\Inetpub\wwwroot\iisstart.htm清空就正常了，这样怎么行，解决问题当然要连根拔掉。continue有没有可能是扩展造成的，到扩展中检查了一遍全部都是正常的当然 通过ISAPI 挂马的也是存在的左想右想最后还是觉得配置文件有问题打开配置文件，配置文件在%windir%\system32\inetsrv\MetaBase.xml用记事本打开，查找iisstart.htm　找到一行，开始以为是默认站点，后来一想不对啊默认站点都删除了，再仔细一看这句代码为DefaultDocFooter=”fi
[<<][[1]][2][>>]

查看评论(0)
发表评论



首页