服务 IIS Admin Service 意外停止。这发生了*次

症状：

1、IIS admin无法重启，显示为服务器长时间无响应

2、打开IIS管理台启动站点目录，等候N久还是弹出服务长时间无响应的提示

3、Telnet 127.0.0.1 80无法Telnet上去

 

分析：

IIS 服务器服务无法启动的原因可能是因为 ASP 网站遭受到注入攻击引起的 , 攻击者上传了些 DLL 文件导至内存泄漏 , 从而导致 IIS Admin 无法正常启动 .
 
附上关键日志文件 :
 
事件类型 :  信息
事件来源 : Service Control Manager
事件种类 :  无
事件 ID: 7035
日期 :  2010-03-19
事件 :  11:12:38
用户 :  S-1-5-21-1431817302-2775429557-1960300835-500
计算机 : ***
描述 :
IIS Admin Service 服务成功发送一个 开始 控件。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
 
事件类型 :  信息
事件来源 : Service Control Manager
事件种类 :  无
事件 ID: 7036
日期 :  2010-03-19
事件 :  11:12:38
用户 :  N/A
计算机 : ***
描述 :
IIS Admin Service 服务处于 正在运行 状态。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

事件类型 :  信息
事件来源 : IISCTLS
事件种类 :  无
事件 ID: 1
日期 :  2010-03-19
事件 :  11:12:39
用户 :  N/A
计算机 : ***
描述 :
事件 ID ( 1 ) 的描述 ( 在资源 ( IISCTLS ) 中 ) 无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分 : ***\Administrator.
数据 :
0000: 00 00 00 00               ....   

事件类型 :  信息
事件来源 : IISCTLS
事件种类 :  无
事件 ID: 6
日期 :  2010-03-19
事件 :  11:13:15
用户 :  N/A
计算机 : ***
描述 :
事件 ID ( 6 ) 的描述 ( 在资源 ( IISCTLS ) 中 ) 无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分 : ***\Administrator.
数据 :
0000: 1c 04 07 80               ... €    

事件类型 :  错误
事件来源 : Service Control Manager
事件种类 :  无
事件 ID: 7034
日期 :  2010-03-19
事件 :  11:13:17
用户 :  N/A
计算机 : ***

描述 :
服务 IIS Admin Service 意外停止。这发生了 ** 次。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

本文出自 “Evileast” 博客，转载请与作者联系！