什么现象是IIS挂马？

（前提）网站程序没有发现被挂马的文件，

•   但是访问网站的时候，页面会突然跳转到到别的网站去
•   网站会出现莫名奇妙的链接，图片，页面等。
•   网站域名经常会有错误的，甚至是莫名奇妙的地址访问（有的时候是扫漏洞，但是次数多了，就是被挂马，域名被反利用了）

IIS的重要文件夹

C:inetpub   ： IIS文件的操作历史，日志，默认文件

C:inetpubhistory： IIS配置文件更改历史记录

C:WindowsSystem32inetsrv  : IIS文件，模块都在这里（32位）

C:WindowsSysWOW64inetsrv   : IIS文件，模块都在这里（64位）

C:WindowsMicrosoft.NETFramework ： .NET Framework 的相关文件

C:WindowsMicrosoft.NETFramework64  ： .NET Framework 的相关文件（64位）

C:inetpubcusterr ： IIS的默认错误页面

IIS的重要几个文件

C:inetpubwwwrootiisstart.htm 

       这个IIS默认基础文件，如果页面上有出现特殊脚本，代码上没有，就要检查下这个文件是否正常，是否有什么其他不良的脚本，需要进行修复

C:WindowsSystem32inetsrvconfigapplicationHost.config

       这个IIS的配置文件，所有IIS设置项都在这里面。 如果IIS被挂马的话，这个文件肯定被添加了一些新的映射Moludes, 这个文件里重点排查  modules  globalModules 这两个节点。看下是否有一些挂马文件被引用。

C:WindowsSystem32inetsrvMetaBase.xml

这个是IIS的设置文件，有的木马，是在这里设置请求和请求尾追加一些脚本，例如DefaultDocFooter ：默认自定义Footer，这里可以指向一个为文件或者地址,  EnableDocFooter 是 true, 表示启动自定义页脚，因此如果出现这种现象，就要检查下相关文件

解决方法： 就是找几个重要的文件夹，用时间来搜索，看下近期没有修改的文件，进行排查

如果找到可疑的文件无法删除，可以进入CMD， tasklist /m ***.dll  来查看DLL文件被什么程序占用的

上一次排查中，配置文件被挂入一些木马：如下截图

下面罗列一些比较常见的挂马文件

mscorevt.dll

mscorevts.dll

mscorevt32.dll

mscorevt64.dll

FilterSecurity.dll

FilterSecurity32.dll

FilterSecurity64.dll