一：我们知道服务器加载网站文件通过是根据IIS中metabase.xml文件设置来加载的，那么如果遇到上述情况请检查下metabase.xml文件是否有异常：

常见位置：c:windowssystem32inetsrvmetabase.xml

ConnectionTimeout='120'
ContentIndexed='TRUE'
DefaultDoc='Default.htm,Default.asp,index.htm,Default.aspx,index.asp,index.html,index.php'
DefaultDocFooter='file＆#58C:WINDOWSWebindex.htm'
DirBrowseFlags='DirBrowseShowDate | DirBrowseShowTime | DirBrowseShowSize | DirBrowseShowExtension |     DirBrowseShowLongDate | EnableDefaultDoc'
DownlevelAdminInstance='1'
EnableDocFooter='TRUE'
HttpCustomHeaders='X-Powered-By: ASP.NET'
HttpErrors='400,*,FILE,C:WINDOWShelpiisHelpcommon400.htm
401,1,FILE,C:WINDOWShelpiisHelpcommon401-1.htm
401,2,FILE,C:WINDOWShelpiisHelpcommon401-2.htm
401,3,FILE,C:WINDOWShelpiisHelpcommon401-3.htm

其中DefaultDocFooter='file＆#58C:WINDOWSWebindex.htm'为加载所有网站底部内容，这里可以插入恶意链接或黑链代码<a href=http://www.studstu.com target=_blank>www.studstu.com</a>，这样在加载网站内容时就会把这文件里的内容统统加入到网站源码中了，但在网站文件里是找不到的。这种高级挂马方式就是IIS挂马手段了。当然，调用文件也可能位置是：c:inetpubwwwrootiisstart.htm。

二：另外介绍一种高级留后门方式：自动收集服务器帐号密码，当然前提是已经拿到服务器权限。

常见后门文件位置：c:windowssystem32oot.dat ，利用工具：自动收集VPS管理员帐号密码（咻咻牌3389记录管理密码ASP收信版+显IP）。

这样，只要你每次登陆服务器，你的帐号密码都会被记录下来然后上传到指定邮箱，即使你再怎么修改服务器密码也无济于事的原因。

三：我以前碰到过一些服务器被黑状况，不知道你的是不是这样：
1、在本地安全策略-安全设置-本地策略-安全选项-帐户：重命名系统管理员帐户-被修改成了GUEST。。然后GUEST就拥有了系统管理员权限，禁用GUEST就连系统管理员帐户一起禁用了。GUEST帐户也删除不了。
2、在防火墙里例外了一个可疑文件，强行打开了一个端口。
3、系统里的WLONTIFY.DLL文件被替换成了WMINOTIFY.DLL.
4、被植入了LCX.EXE文件。
5、在C:WINDOWS生成了BOOT.DAT文件，记录每次远程登陆所用的帐号密码。
6、网站被植入了木马下载链接。
7、注册表里生成了这么个东东：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify
后来虽然这些东西都清除了，但是还不放心，直接重做系统了。

怒熊网【重庆网站建设】暂时整理这些，不知道对你有没有帮助。