网站被挂马了，以为删掉木马就好了，谁知道是IIS全局劫持挂马

公司的服务器被挂马了，从搜索引擎访问会跳转到垃圾网站，一开始以为是简单的木马程序，此类的木马一般是在全局文件里写木马文件，判断是否从搜索引擎访问的，是就跳转到指定的地址，不是就正常打开。

公司的网站是.NET的所有第一反应就是用上能用的杀毒防护软件先给它扫一遍。然后检查global.aspx 等全局文件，

已经确定了没问题了 ，但是用工具模拟蜘蛛访问，还是一样，在网页头部插上了一大串的超链接，如下图：

思来想去，可能是IIS被全局挂马劫持了 。没办法，再一步步操作：

1.查看IIS的配置文件没有发现此类的地址。

2.查看默认的IIS 页面C:\Inetpub\wwwroot\iisstart.htm 没有发现可疑信息

到这里猜猜可能是更加隐蔽的IIS模块挂马。下载啊D软件（D盾），查看w3wp.exe 加载了哪些dll库，如下图：

发现有两个没有公司信息的DLL库一个是自己安装的软件这个没有问题，另一个就是上图中的httpevt.dll，由于能力有限没能反编译这个dll,只能到IIS 的的模块里先删除这个模块试试，如下图：

重启IIS ，再用工具模拟百度蜘蛛访问，发现解决了。