本日志标题:因ARP欺骗网站源文件被注入了<iframe>代码        [2007-4-13]

最近我的网站突然出现访问的迟钝,并且打开之后杀毒软件立即提示含有木马病毒。

我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了<iframe>嵌套框架网页,该网页执行木马程序……

按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。

于是询问服务器管理员含笑,他一听就说:“是中ARP欺骗的病毒攻击了”。

那么什么是“ARP欺骗”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

如何检查本机是否中了ARP欺骗木马病毒

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。

如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口,输入“ipconfig”获得“Default Gateway”默认网关。

继续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

推荐工具:欣向ARP工具,包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.,请务必先安装此软件)下载地址: http://www.nuqx.com/downcenter.asp

ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案
http://www.txwm.com/BBS384837.vhtml

ARP攻击防范与解决方案专题
http://www.luxinjie.com/s/arp/

在百度搜索完整的因ARP欺骗网站源文件被注入了<iframe>代码内容,或者用Google搜索相关的更多内容

By [cnbruce] at 20:07:17 | 评论 [7] | 浏览 [27211] | TrackBack| 返回顶部

About Comments
上次遇到过类似问题,最后以重装系统解决.学习了!
By [fundfund] at 2007-4-18 16:02:29
以前用虚拟主机的时候,就经常遇到这个问题,应该是主机服务商的安全没做好。

不过这下子,更清楚为什么会放一个基本上什么内容都没有的框架页了。

谢谢!
By [cuiwenyuan] at 2007-4-20 22:56:49
没看懂,中了arp病毒跟网页被插入<iframe>框架有什么关系。
By [空心木马] at 2007-4-30 15:28:59
嗯拉,中了ARP跟IFRAME有啥关系?难道ARP攻击还会修改服务器上的源代码……好像不搭界的
By [Jay] at 2007-6-18 10:15:39
是的了,问题和答案不对照
By [fd] at 2007-8-22 19:54:53
简单的说,就是如果你的局域网中的一台机器被感染上病毒(例如通过一个IE的安全漏洞等等),病毒程序可以以这台机器(A),在局域网内部发起ARP cache poison的攻击,来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。(典型的man-in-the-middle攻击)。然后,机器B的所有的http网络访问,都可以被A截获并插入IFRAME信息,以试图感染机器B。在这里,攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞,如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话,就会被感染。

当A发现攻击无效,或A上的病毒被删除了的话,在机器B上你看到的这些奇怪的现象就会消失了。

如果存有网络活动记录,查看网络中的ARP的数据包,就可以确定是从那台机器发起的攻击。
By [ccdodo] at 2007-9-10 12:13:05


Post a Comment
呢称: 验证码: 
禁止笑脸转换 禁止UBB | 缩放输入框:6 5 | [Ctrl+Enter提交](1000个字符限制)