网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击

我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……

按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。

于是询问服务器管理员含笑,他一听就说:“是中ARP欺骗的病毒攻击了”。

那么什么是“ARP欺骗”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。


本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主
机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户
密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨
大的经济损失。

如何检查本机是否中了ARP欺骗木马病毒

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。

如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口,输入“ipconfig”获得“Default Gateway”默认网关。


续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“
ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP
对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

推荐工具:欣向ARP工具,包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.,请务必先安装此软件)下载地址: http://www.nuqx.com/downcenter.asp

ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案
http://www.txwm.com/BBS384837.vhtml

ARP攻击防范与解决方案专题
http://www.luxinjie.com/s/arp/

查看完整的网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击内容,或者用Google搜索相关的更多内容

时间: 2024-09-29 20:22:22

网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击的相关文章

网站源文件被注入了<iframe>代码—ARP欺骗的木马病毒攻击_病毒查杀

最近我的网站突然出现访问的迟钝,并且打开之后杀毒软件立即提示含有木马病毒. 我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢.职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了<iframe>嵌套框架网页,该网页执行木马程序-- 按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码. 于是询问服务器管理员含笑,他一听就说:"是中ARP欺骗的病毒攻击了". 那么什么是"AR

网站被黑的假象--ARP欺骗之页面中加入一段js_javascript技巧

昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码.刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹. <script src=http://fuck.ns2go.com/dir/index_pic/1.js></script> 于是只能从这段代码入手,我下载这个js开发发现是下面一段代码: 复制代码 代码如下: window["\x64\x6f\x63\x75\x6d\x65\x6e\x

教你怎么用Mono Cecil - 动态注入 (注意代码的注释)

原文 教你怎么用Mono Cecil - 动态注入 (注意代码的注释) 使用 Mono Cecil 进行反编译:using Mono.Cecil; using Mono.Cecil.Cil; //...... AssemblyDefinition asm = AssemblyFactory.GetAssembly("MyLibrary.dll"); foreach (TypeDefinition type in asm.MainModule.Types) { if (type.Name

ARP欺骗故障的排除

故障现象 许多用户反映频繁掉线,局域网与internet链接速度突然变慢甚至断开.重新启动后工作正常,但是工作一段时间以后,故障重现. 初步认为可能是病毒或者木马造成的网络堵塞. 网络环境 单位的网络环境是按照每个楼层划分Vlan,出现故障的Vlan是Vlan7.其他的Vlan内的用户均正常,即出现问题可能是Vlan 7内的用户. Valn 7网关的IP地址为:192.168.61.202,对应的MAC地址为:00-20-9-c-69-32-3f. Vlan内的用户使用DHCP的方式获得IP地址

tplink ARP欺骗防护功能怎么用

目前知道的带有ARP欺骗功能的软件有"QQ第六感"."网络执法官"."P2P终结者"."网吧传奇杀手"等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力. 从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗:另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行.不管怎么样,欺骗发送后,电脑和路由器之

社交网站成病毒攻击新目标

(记者 焦立坤)Facebook.Twitter等社交网站可能"吸引"越来越多的网络攻击.全球最大的安全厂商迈克菲昨日公布2010 年威胁预测报告称,网络犯罪分子将目标锁定社交网站和第三方应用程序,利用日益复杂的木马病毒和僵尸网络进行攻击. 迈克菲实验室表示,社交网站和这些网站上的第三方应用程序使犯罪分子的作案工具迅速发生变化.犯罪分子的网络上随机分布恶意应用程序,他们利用社交网站上朋友间的信任,诱使用户点击本应该谨慎对待的链接. 迈克菲实验室警告,去年银行木马十分嚣张地展示了新战术,

PHP代码网站防范SQL注入漏洞攻击的建议

所有的网站管理员都会关心网站的安全问题.说到安全就不得不说到SQL注入攻击(SQL Injection).黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入 功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉.做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并 学会如何通过代码来保护自己的网站数据库.今天就通过PHP和MySQL数据库为例,分享一下我所了解的SQL注入攻击和一些简单的

获取远程服务器网站源文件二种方法

 代码如下 复制代码 function getsourcecode($q){    return @file_get_contents($q); } //用curl获取网站源文件 function c_getpagecode($c_url,$p_i=0){  $user_agent = "mozilla/4.0";  $proxy[0] = "http://211.155.231.208:80"; //浙江省杭州市 电信idc机房  $proxy[1] = &quo

三个步骤 堵死网站被SQL注入的隐患

SQL注入是什么? 许 多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入. 网站的恶梦--SQL注入 SQL注入通过网页对网站数据库进行修改.它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限.黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各