其中DefaultDocFooter="file＆#58C:\WINDOWS\Web\index.htm"為加載所有網(wǎng)站底部內(nèi)容，這里可以插入惡意鏈接或黑鏈代碼<a href=http://www.studstu.com target=_blank>www.studstu.com</a>，這樣在加載網(wǎng)站內(nèi)容時就會把這文件里的內(nèi)容統(tǒng)統(tǒng)加入到網(wǎng)站源碼中了，但在網(wǎng)站文件里是找不到的。這種高級掛馬方式就是IIS掛馬手段了。當然，調(diào)用文件也可能位置是：c:\inetpub\wwwroot\iisstart.htm。

二：另外介紹一種高級留后門方式：自動收集服務器帳號密碼，當然前提是已經(jīng)拿到服務器權(quán)限。

常見后門文件位置：c:\windows\system32\boot.dat ，利用工具：自動收集VPS管理員帳號密碼（咻咻牌3389記錄管理密碼ASP收信版+顯IP）。

這樣，只要你每次登陸服務器，你的帳號密碼都會被記錄下來然后上傳到指定郵箱，即使你再怎么修改服務器密碼也無濟于事的原因。

三：我以前碰到過一些服務器被黑狀況，不知道你的是不是這樣：
1、在本地安全策略-安全設置-本地策略-安全選項-帳戶：重命名系統(tǒng)管理員帳戶-被修改成了GUEST。。然后GUEST就擁有了系統(tǒng)管理員權(quán)限，禁用GUEST就連系統(tǒng)管理員帳戶一起禁用了。GUEST帳戶也刪除不了。
2、在防火墻里例外了一個可疑文件，強行打開了一個端口。
3、系統(tǒng)里的WLONTIFY.DLL文件被替換成了WMINOTIFY.DLL.
4、被植入了LCX.EXE文件。
5、在C:\WINDOWS\生成了BOOT.DAT文件，記錄每次遠程登陸所用的帳號密碼。
6、網(wǎng)站被植入了木馬下載鏈接。
7、注冊表里生成了這么個東東：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify
后來雖然這些東西都清除了，但是還不放心，直接重做系統(tǒng)了。

暫時整理這些，不知道對你有沒有幫助。