前段时间朋友的服务器被挂马了，找我帮忙。登陆他的站点，发现所有页面尾部有2段IFRAME的挂马。远程登陆他的服务器，查看了他的原代码，并没有看到挂马代码。查了下资料，应该确定是 ISAPI扩展 出了问题。在主IIS上——右键属性——ISAPI，共有4个扩展：
1、ASP.NET_1.1.（版本号） 级别是低， 路径C:\WINDOWS\Microsoft.NET\Framework\v1.1.xxxxx\aspnet_filter.dll
2、ASP.NET_1.0.（版本号） 级别是高， 路径C:\WINDOWS\Microsoft.NET\Framework\v1.0.xxxxx\aspnet_filter.dll
3、RpcProxy
4、wanps.dll 级别是高， 路径c:\windows\help\wanps.dll
很明显，最后一个就是挂马。
查看目录还包括另外2个文件：

wanps.ini内容为：

=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt内容为：

<body>
<i src='http://XXXXXXXX.org/' mce_src='http://XXXXXXXX.org/' height=0 width=0></i>
<language='java'>
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
='GAG5=ABCDEFG;expires='+expires.toGMTString();
-->
</>
</body>

停止IIS，删掉有问题的ISAPI和相关文件，重启IIS，浏览网页，挂马少了一个，不过还有一个依旧存在。代码类似，只不过网页地址加密过。

继续在网上查资料，也考虑到中了其他病毒/木马，或者ARP欺骗挂马，但是用杀软检查已经ARP检测工具也没有发现相关病毒以及ARP攻击，系统目录下asp.dll文件也没有什么改动。没办法，又把目光回到IIS上，初看那另外3条ISAPI扩展好象没有什么问题。不过我记得WIN2003默认.NET版本是1.1的，怎么有个1.0的，检查了C:\WINDOWS\Microsoft.NET\Framework目录下各个版本的文件，发现问题所在，那个1.0的文件夹下面只有3个文件，除了aspnet_filter.dll还有另外2个DLL（删快了，忘记录文件名了），判定应该是这块问题。停止IIS，删除ISAPI以及文件，再重启，挂马解决。

最后总结下目前几种挂马：
1、最基本的网页添加挂马，可以在受害程序中查找到挂马代码。通过程序漏洞、系统漏洞的方式直接添加在原始程序的头尾或者中间部分。删除原始程序代码中木马部分，打上漏洞补丁既能解决?。
2、病毒、木马挂马。解决方法：查杀病毒、木马。
2、ISAPI扩展挂马?，往往全站都被挂马，原始程序中无挂马部分。解决方法如上。
3、系统文件C:\WINDOWS\system32\inetsrv\asp.dll（特指ASP的站点，PHP站点应该也有类似的）被修改挂马，用MD5软件和正常asp.dll的MD5码对比即可鉴别，解决方法停止IIS用正常的覆盖问题文件，重启IIS即可。
4、ARP欺骗挂马，原理不多叙述了，可以google下关键字“ARP 挂马 原理”，有很多这方面说明，以及解决方法。
5、CDN挂马，这个我也不是很懂，出现的比较少，感觉这个就类似某些地区的ADSL上网会被强行插入广告或者跳转至114站点。

目前只知道这么多了，以后有新的在补充。