一臺(tái)服務(wù)器 幾乎所有網(wǎng)站打開(kāi)網(wǎng)頁(yè) 甚至HTML網(wǎng)頁(yè) 都出現(xiàn)了

　　<iframe src="" height=0 width=0></iframe>

　　這種樣式的代碼 有的在頭部　有的在尾部 部分殺毒軟件打開(kāi)會(huì)報(bào)毒

　　打開(kāi)HTML或ASP PHP頁(yè)面 在源碼中怎么也找不到這段代碼

　　分析原因

　　首先懷疑ARP掛馬， 用防ＡＲＰ的工具又沒(méi)有發(fā)現(xiàn)有arp欺騙

　　而且arp欺騙一般不會(huì)每次都被插入代碼， 而是時(shí)有時(shí)無(wú)

　　而且使用 或者 訪(fǎng)問(wèn)的時(shí)候也可以找到這段代碼

　　arp欺騙的可能排除。

　　然后就想到可能是JS被篡改， 或者是其它的包含文件， 查找后沒(méi)有發(fā)現(xiàn)被改的頁(yè)面 連新建的HTML頁(yè)面瀏覽的時(shí)候也會(huì)被插入這段代碼， 那就只能是通過(guò)ＩＩＳ掛上去的了。

　　備份iis數(shù)據(jù)然后重裝iis， 代碼消失， 將備份的iis恢復(fù)， 問(wèn)題又來(lái)了。

　　仔細(xì)尋找， 問(wèn)題應(yīng)該出在IIS的配置文件上， 打開(kāi)配置文件， 沒(méi)有發(fā)現(xiàn)那段代碼。

　　那很有可能是調(diào)用了某個(gè)文件， 這個(gè)怎么查啊， 忽然想起了大名鼎鼎的Filemon

　　本地載了一個(gè)上傳到服務(wù)器上， 打開(kāi)Filemon， 數(shù)據(jù)太多了， 過(guò)濾掉一些沒(méi)有用的

　　只留下iis的進(jìn)程， 數(shù)據(jù)還是很多， 看來(lái)服務(wù)器上的站點(diǎn)還是挺多人在訪(fǎng)問(wèn)的。

　　關(guān)掉所有站點(diǎn),建了一個(gè)測(cè)試站點(diǎn)anky 目錄為D:www　在下面建了一個(gè)空白頁(yè)面test.htm

　　訪(fǎng)問(wèn)一下這個(gè)頁(yè)面代碼被插進(jìn)來(lái)了， 再看一下Filemon　奇怪怎么讀取C:Inetpubwwwrootiisstart.htm

　　打開(kāi)C:Inetpubwwwrootiisstart.htm一看， 里面就躺著

　　<iframe src="" height=0 width=0></iframe>

　　把代碼刪除了留空， 訪(fǎng)問(wèn)test.htm 正常了， 把C:Inetpubwwwrootiisstart.htm刪除了再訪(fǎng)問(wèn)

　　test.htm　出現(xiàn)　“讀取數(shù)據(jù)頁(yè)腳文件出錯(cuò)”問(wèn)題就出這里了， 看來(lái)是調(diào)用了

　　這個(gè)文件。

　　把C:Inetpubwwwrootiisstart.htm清空就正常了， 這樣怎么行， 解決問(wèn)題當(dāng)然要連根拔掉。

　　continue

　　有沒(méi)有可能是擴(kuò)展造成的， 到擴(kuò)展中檢查了一遍全部都是正常的

　　當(dāng)然 通過(guò)ISAPI 掛馬的也是存在的

　　左想右想最后還是覺(jué)得配置文件有問(wèn)題

　　打開(kāi)配置文件， 配置文件在%windir%system32inetsrvMetaBase.xml

　　用記事本打開(kāi)， 查找iisstart.htm　找到一行， 開(kāi)始以為是默認(rèn)站點(diǎn)， 后來(lái)一想不對(duì)啊

　　默認(rèn)站點(diǎn)都刪除了， 再仔細(xì)一看這句代碼為

　　DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"

　　刪除掉這一行， 問(wèn)題徹底解決了。