专栏首页我和未来有约会网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击

网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击

我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……

按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。

于是询问服务器管理员含笑,他一听就说:“是中ARP欺骗的病毒攻击了”。

那么什么是“ARP欺骗”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

而 本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主 机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户 密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨 大的经济损失。

如何检查本机是否中了ARP欺骗木马病毒

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。

如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口,输入“ipconfig”获得“Default Gateway”默认网关。

继 续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。

3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。

8、管理员定期轮询,检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

推荐工具:欣向ARP工具,包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.,请务必先安装此软件)下载地址: http://www.nuqx.com/downcenter.asp

ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案

http://www.txwm.com/BBS384837.vhtml

ARP攻击防范与解决方案专题

http://www.luxinjie.com/s/arp/

查看完整的网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击内容,或者用Google搜索相关的更多内容

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • silverlight 2 Random 随机数解决方案

    using System; using System.Security.Cryptography; public class RNG     { ...

    用户1172164
  • Silverlight初级教程-概述

    Silverlight初级教程 概述 Silverlight 是微软的一项新技术,正如之前的asp一样,微软为了保持其竞争力重新设计了他的框架推...

    用户1172164
  • Silverlight Cairngorm

    Cairngorm这个词做过flex开发的朋友应该不会陌生,Cairngorm是Flex开发中的一个MVC框架,由Adobe官方提供支持。现在Silverlig...

    用户1172164
  • ARP的3种变形

            代理ARP又称混杂ARP,被路由器作为向主机表明自身可用的一种手段。如主机A需要向主机B,但它们都没有设置缺省网关,因而也就不知道如何到达路由器...

    py3study
  • 什么是ARP欺骗?

    ARP欺骗是一种恶意行为者通过局域网发送伪造的ARP(地址解析协议)消息的攻击类型。这会导致将攻击者的MAC地址与网络上的合法计算机或服务器的IP地址链接起来。...

    周俊辉
  • Python灰帽编程 3.1 ARP欺骗

    ARP欺骗是一种在局域网中常用的攻击手段,目的是让局域网中指定的(或全部)的目标机器的数据包都通过攻击者主机进行转发,是实现中间人攻击的常用手段,从而实现数据监...

    用户1631416
  • IE 浏览器 DOM 树结构概览(上)

    DOM 作为现代浏览器的基础,其设计和实现方式影响着整个浏览器的表现。对安全研究者而言,了解DOM 的结构更是有着特殊的意义。在对 DOM 结构有了了解之后进行...

    腾讯玄武实验室
  • 对于Ping的过程,你真的了解吗?

    对于ping命令,想必只要是程序员都知道吧?当我们检查网络情况的时候,最先使用的命令肯定是ping命令吧?一般我们用ping查看网络情况,主要是检查两个指标,第...

    周三不加班
  • Neo4j 2.0 生产环境集群搭建

    一、在windows上搭建Neo4j ha cluster的配置方法: 例如:建立集群的三台机器的ip分别为:10.230.9.91,10.230.9.92,1...

    庞小明
  • Mycat中间件实现一主一从和双主双从的读写分离

    笔者在《MySQL数据库实现主从复制》这一篇文章中有提到读写分离这个技术,这个技术时基于主从复制之后的一种技术。在数据库主从复制中,一个主数据库有一个或者多个从...

    夜雨飘零

扫码关注云+社区

领取腾讯云代金券