议题作者：hudd
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

服务器上一共有200多个站.经过研究发现 貌似只有调用了xml的程序才被挂马.当然源代码里是找不到挂马代码..

开始以为是msxml3.dll被注入了代码..替换了新的..问旧依旧...但msxml3.dll一直被explorer锁定不能重命名.不知道是不是正常的...

另外我希望管理员好心通过一下....

补充一下:重装IIS 也不行.地址是http://zlzs.com/bbs/ 最好用记事本打开吧

arp -a 发一下
C:\WINDOWS\system32\inetsrv\MetaBase.xml 也发一下

站点打开了显示数据库连接字串错误。

IIS启用了文档页脚？
还是某个dll的问题？

传说中的IIS挂马，在 站点下建立虚拟目录。LZ找下这方面的文章看看

可以结帖了..还是msxml3.dll 问题..

楼主具体说下你怎么解决的问题，这样大家也可以学习下

system32/msxml3.dll   这个文件估计被替换了...不可以直接替换.但可以改文件名后替换.
我去找了一个原版的msxml3.dll 替换后重起就搞定了....

只有用了xml 的程序才被挂入木马(如论坛)..样本我这里也没有了.很久的事了...不过如果大伙有兴趣可以研究一下.这种挂马方式很牛

刚刚讲的system32/msxml3.dll这个文件不能修改文件名，是不是在调用时已经插入到了EXPLOER进程里了呢？

结束explorer进程，在cmd下替换试试~

也可以用 sigverif.exe 来验证 msxml3.dll 的数字签名来判断 其是否被恶意程序替换了

跑去看看数据库服务器

isapi被改了吧.

用于向网页中插入代码，支持iframe以及script 标签。

原本这程序是别人定做的，因为交易方式的分歧，闹的不惶而散。
看到群里有人不知道在那弄到的，当成宝贝是的，既然没交易，就发出来吧。
原本人家是用来挂广告的，让有心人用来挂马用了
原理很简单，就是在IIS应用程序池isapi，特点是解决了win2003假死问题，缩短IIS应用池回收时间。
测试环境WIN2003+IIS XPSP2+IIS    WIN2000没测试。
首先打开GetID.exe获取注册号，运行IIS_AD.exe生成DLL文件，加载到IIS应用池就OK了
有了他服务器任何的一个页面都会有广告代码或者网马代码。
之后修改IIS_AD.ini里的内容：
[IIS_AD]
ADjs=<script language=’javascript’>alert(’Welcome to User IIS AD !’);</script>
支持iframe以及script 标签

详情见：http://www.script74.cn/blog/article.asp?id=174
小菜都可以看看，顺便提供工具下载哈！！