網(wǎng)站通過百度搜索訪問，會跳轉(zhuǎn)到異常網(wǎng)站。

經(jīng)過仔細(xì)分析、核實(shí)，確定是被掛馬造成，但網(wǎng)頁源文件中、使用安全工具掃描都沒有發(fā)現(xiàn)異常代碼。

新建空文件1.html，使用工具測試也顯示掛馬，說明是系統(tǒng)層面問題。

經(jīng)查看站點(diǎn)設(shè)置等信息，發(fā)現(xiàn)iis站點(diǎn)》模塊被加入了異常dll，如圖

根據(jù)經(jīng)驗(yàn)，%windir%開頭的路徑是系統(tǒng)自動加的，理論上沒有問題；如果是c:\windows要重點(diǎn)核實(shí)。

經(jīng)過分析，此文件是木馬病毒文件。

刪除模塊加載，并刪除文件，重啟iis后測試，掛馬消失。

經(jīng)分析，黑客主要是利用了windows系統(tǒng)安全漏洞，進(jìn)而對系統(tǒng)造成了一些破壞。

目前主要windows2008、windows2012系統(tǒng)存在問題，如使用這兩個系統(tǒng)的用戶，強(qiáng)烈建議升級為windows2016，具體操作參考：http://www.bingfeng168.cn/faq/list.asp?unid=2446

或新購買一臺同機(jī)房同配置云服務(wù)器，安裝2016系統(tǒng)，自行遷移數(shù)據(jù)到新服務(wù)器，然后提交工單平移時間到新服務(wù)器。

安全設(shè)置

如暫時不能升級，請做必要的安全設(shè)置。

1.安裝殺毒軟件或安全控制軟件，比如云鎖。

2.使用獨(dú)立用戶進(jìn)程池。（使用我司建站助手建立站點(diǎn)即可）

3、取消dcom

windows管理工具》組件服務(wù)》我的電腦右鍵屬性》默認(rèn)屬性》在此計算機(jī)上啟用分布式COM的勾取消。如果默認(rèn)沒有勾中不用做處理。

4.替換身份令牌取消所有池用戶包括iis_users組。

windows管理工具》本地安全策略》本地策略》用戶權(quán)限分配。如圖為正確的權(quán)限

5.身份模擬取消所有池用戶包括iis_users組

windows管理工具》本地安全策略》本地策略》用戶權(quán)限分配。如圖為正確的權(quán)限

這是臨時的安全設(shè)置，無法確保長久的安全，建議盡快升級為windows2016系統(tǒng)才能徹底解決問題。