网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击

我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……

按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。

于是询问服务器管理员含笑,他一听就说:“是中ARP欺骗的病毒攻击了”。

那么什么是“ARP欺骗”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

而 本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主 机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户 密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨 大的经济损失。

如何检查本机是否中了ARP欺骗木马病毒

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。

如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口,输入“ipconfig”获得“Default Gateway”默认网关。

继 续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。

3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。

8、管理员定期轮询,检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

推荐工具:欣向ARP工具,包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.,请务必先安装此软件)下载地址: http://www.nuqx.com/downcenter.asp

ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案

http://www.txwm.com/BBS384837.vhtml

ARP攻击防范与解决方案专题

http://www.luxinjie.com/s/arp/

查看完整的网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击内容,或者用Google搜索相关的更多内容

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏测试开发架构之路

计算机网络基础知识笔记(一)

TCP/IP体系结构之网络层   本章重要内容是:     1)虚拟互联网络概念     2)IP地址与物理地址的关系     3)IP地址分类和无分类域间路由...

382100
来自专栏Java面试通关手册

搞定计算机网络面试,看这篇就够了(补充版)

相对与上一个版本的计算机网路面试知识总结,这个版本增加了 “TCP协议如何保证可靠传输”包括超时重传、停止等待协议、滑动窗口、流量控制、拥塞控制等内容并且对一些...

23020
来自专栏黑白安全

UDP和TCP的优缺点

        TCP是面向连接的,可靠的流协议.流就是指不间断的数据结构,你可以把它想象成排水管道中的水流,当应用程序采用TCP发生消息时,虽然可以保证发送的...

18020
来自专栏java一日一条

每个程序员应该知道的计算机网络知识

作为一名程序员, 不可能不与网络打交道. 现在我们的手机, 电脑, 不夸张地说, 离开了网络就是一块’废铁’, 它们的作用将大打折扣.. 本文的作用呢, 主要是...

45110
来自专栏大神带我来搬砖

对Nexus私服的作者真是恨铁不成钢

公司需要搭建maven私服,于是打算搭建nexus服务器。原来一直都是用的nexus OSS 2,感觉还不错,于是下载了最新版的OSS 3来安装。

18110
来自专栏土豆专栏

计算机网络基础知识整理--运输层

从IP层来说,通信的两端是两个主机。IP数据报的首部明确地标志了这两个主机的IP地址。我们需要知道,真正进行通信的实体是在主机中的进程,是这个主机中的一个进程和...

652120
来自专栏编程之旅

2.25 网络

发送——》接收 应用层 - 会话层 - 数据层 - 传输层 - 网络层 - 数据链路层 - 物理层

9520
来自专栏颇忒脱的技术博客

面向程序员的网络基本知识 - 网络模型及网络设备

本系列文章旨在向程序员分享一些网络基本知识,让程序员具备基本的网络常识,以便与网络工程师沟通。本系列文章不会涉及如何配置交换机、路由器等网络设备的内容,所以不适...

10510
来自专栏李家的小酒馆

UDP和TCP的区别

UDP(User Data Protocol,用户数据报协议)   UDP是一个无连接,不保证可靠性的传输层协议,也就是说发送端部关心发送的数据是否到达目标主机...

38000
来自专栏Java进阶架构师

一篇文章带你详解 TCP/IP 协议

不难看出,TCP/IP 与 OSI 在分层模块上稍有区别。OSI 参考模型注重“通信协议必要的功能是什么”,而 TCP/IP 则更强调“在计算机上实现协议应该开...

15810

扫码关注云+社区

领取腾讯云代金券