症状:
1、IIS admin无法重启,显示为服务器长时间无响应
2、打开IIS管理台启动站点目录,等候N久还是弹出服务长时间无响应的提示
3、Telnet 127.0.0.1 80无法Telnet上去
分析:
IIS服务器服务无法启动的原因可能是因为ASP网站遭受到注入攻击引起的,攻击者上传了些DLL文件导至内存泄漏,从而导致IIS Admin无法正常启动.
附上关键日志文件:
事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7035
日期: 2010-03-19
事件: 11:12:38
用户: S-1-5-21-1431817302-2775429557-1960300835-500
计算机: ***
描述:
IIS Admin Service 服务成功发送一个 开始 控件。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7036
日期: 2010-03-19
事件: 11:12:38
用户: N/A
计算机: ***
描述:
IIS Admin Service 服务处于 正在运行 状态。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 信息
事件来源: IISCTLS
事件种类: 无
事件 ID: 1
日期: 2010-03-19
事件: 11:12:39
用户: N/A
计算机: ***
描述:
事件 ID ( 1 )的描述(在资源( IISCTLS )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述;查看帮助和支持以了解详细信息。下列信息是事件的一部分: ***\Administrator.
数据:
0000: 00 00 00 00 ....
事件类型: 信息
事件来源: IISCTLS
事件种类: 无
事件 ID: 6
日期: 2010-03-19
事件: 11:13:15
用户: N/A
计算机: ***
描述:
事件 ID ( 6 )的描述(在资源( IISCTLS )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述;查看帮助和支持以了解详细信息。下列信息是事件的一部分: ***\Administrator.
数据:
0000: 1c 04 07 80 ...€
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7034
日期: 2010-03-19
事件: 11:13:17
用户: N/A
计算机: ***
附上关键日志文件:
事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7035
日期: 2010-03-19
事件: 11:12:38
用户: S-1-5-21-1431817302-2775429557-1960300835-500
计算机: ***
描述:
IIS Admin Service 服务成功发送一个 开始 控件。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 信息
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7036
日期: 2010-03-19
事件: 11:12:38
用户: N/A
计算机: ***
描述:
IIS Admin Service 服务处于 正在运行 状态。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 信息
事件来源: IISCTLS
事件种类: 无
事件 ID: 1
日期: 2010-03-19
事件: 11:12:39
用户: N/A
计算机: ***
描述:
事件 ID ( 1 )的描述(在资源( IISCTLS )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述;查看帮助和支持以了解详细信息。下列信息是事件的一部分: ***\Administrator.
数据:
0000: 00 00 00 00 ....
事件类型: 信息
事件来源: IISCTLS
事件种类: 无
事件 ID: 6
日期: 2010-03-19
事件: 11:13:15
用户: N/A
计算机: ***
描述:
事件 ID ( 6 )的描述(在资源( IISCTLS )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述;查看帮助和支持以了解详细信息。下列信息是事件的一部分: ***\Administrator.
数据:
0000: 1c 04 07 80 ...€
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7034
日期: 2010-03-19
事件: 11:13:17
用户: N/A
计算机: ***
描述:
服务 IIS Admin Service 意外停止。这发生了 ** 次。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
服务 IIS Admin Service 意外停止。这发生了 ** 次。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
