最新,笔者单位有台服务器,全服务器所有网站都被挂马(前提是笔者已经做了FSO安全配置,每个网站都设定单独访问用户),不仅是ASP文件被挂马,甚至有些HTML文件也被挂马,查看源代码中却找不到挂马的代码。被挂马的网站头部都显示如下形式的代码:
<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe> 起初怀疑是JS代码搞鬼,查看服务器上所有JS文件,找了半天也没发现。于是我就新建一个HTML文件,然后浏览,依然有上面形式的代码(我晕~~~怀疑自己机子中木马,换台机器依然如此,而且上其他网站好的)。
实在是没折了,打开IIS看看呢,问题找到了,在主IIS上,右击“属性”,在ISAPI里发现一个ISAPI扩展,从没见过的,路径为:C:\WINDOWS\Help\wanps.dll,加载正常,取消此ISAPI扩展,重新启动IIS后,所有代码消失,问题到此解决,就是这个ISAPI扩展搞的鬼,下面来瞧瞧加载项的具体内容: