服务器ARP病毒的特征及防护说明

近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码 
  在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什 
  么原因造成的呢?

  答:这是近期流行的ARP病毒造成的。 
    具体地说,就是您的服务器所在的机房有上百台服务器,其中有一台服 
    务器被人入侵并安装了ARP病毒,虽然并不是您自己的服务器被入侵, 
    但也会严重影响到其他服务器包括您自己的服务器。

    例如:机房只要有其中一台带毒的服务器被入侵后,它就会向同一个机 
       房其它的服务器广播这样的欺骗性信息:“我是网关,大家发包 
       就通过我”,其它服务器收到这个的信息后会自动将正常的数据 
       发给了这台“带毒的服务器”,这台“带毒的服务器”会在正常 
       的数据(一般是网页)中插入病毒代码,当您用IE在远程访问 
       自己服务器的网站时,就会发现您自己的服务器上所有网站莫名 
       其妙的都被插入了“病毒代码”,但您无法在服务器的源文件找 
       到这些“病毒代码”。

------------------------------------------------------------------------------------------------------------

    解决办法: 
       1. 从上面的分析可以知道,您如果要从根本上解决这个问题, 
         必须先让您机房找出这台带毒的服务器,然后中断这台带毒 
         的服务器的网络并进行杀毒。

       2. 如果机房不帮助您这样解决问题,您可以强行设置自己的服 
         务器使用“静态网关”,设置好后,就算收到带毒的服务器 
         的广播信息:“我是网关,大家发包就通过我”后,一样不 
         会受到影响。

    设置办法如下:

       1. 在您的服务器桌面上,

       2. 新建立一个名为“防止ARP.bat”的bat格式批处理文件。

         文件内容如下: 
          arp -d * 
          arp -s 192.168.0.1 03-00-0f-07-a0-0c

           (其中 192.168.0.1 这IP要改成您的服务器网关IP, 
           这个IP您可以问机房来得到)。 
           (其中 03-00-0f-07-a0-0c 要改成您的服务器网关的 
           MAC地址,这个地址您也可以问机房来得到)。 
          
         注意:如果机房不告诉您MAC地址,您也可以在服务器上 
            运行arp -a命令,也会看到网关的MAC地址。 
         提醒:如果存在ARP病毒,这个MAC地址可能是错的,您需 
            要咨询您的机房确认

       3. 设置好批处理文件后,您可以双击运行它,运行后,就会强 
         行设置自己的服务器使用“静态网关”。这样就可以解决 
         ARP病毒攻击的问题。

         注意:您每次重启服务器后需要重新运行这个“批处理文 
            件”才能生效。您也可以将这个”批处理文件“加 
            在“启动项中或加在操作系统的“计划任务”中, 
            让他能自己运行。

(0)

相关推荐

  • 服务器ARP病毒的特征及防护说明

    近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码  在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什  么原因造成的呢? 答:这是近期流行的ARP病毒造成的.  具体地说,就是您的服务器所在的机房有上百台服务器,其中有一台服  务器被人入侵并安装了ARP病毒,虽然并不是您自己的服务器被入侵,  但也会严重影响到其他服务器包括您自己的服务器. 例如:机房只要有其中一台带毒的服务器被入侵后,它就会向同一个机  房其它的服务器广播这样的欺骗性信息:"我是网关,大家

  • 局域网遭遇“ARP”病毒的新变种附临时解决方法

    早上来公司发现公司的电脑突然都上不了网,排除了拨号密码等问题,最后只要怀疑是arp病毒导致,于是逐个拔掉网线,首先把感染病毒的电脑断网,我们测试上网一切正常,于是我们就到360safe的官方去下了个,arp防火墙插件,每台电脑都有了arp防火墙,把感染病毒的电脑上网,也不影响我们了,问题解决突然发现原来的arp新变种 复制代码 代码如下: 国家计算机病毒应急处理中心近期监测发现,"ARP"病毒出现了新变种,一旦系统受到感染,可能会导致局域网部分计算机不能正常上网,无法打开网页等现象. 

  • 解析arp病毒背后利用的Javascript技术附解密方法

    本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁! 最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助! 现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继续查看源代码,发现头部有一个js文件链接----<script src=http://9-6.in

  • Cisco路由器和H3C交换设备ARP病毒快速解决办法

    Cisco交换机: 在中心交换机上show logging 发现如下日志 Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b84.189e:说明有ARP病毒, 2.执行conf t,mac-address static mac地址 vlan id drop:  3.对有ARP病毒的主机进行了处理,然后在中心交换机上执行 no mac-address st

  • Arp病毒专杀工具 下载

    工具类型:综合工具 ⊙ 操作系统:所有Windows系统 ⊙ 工具大小:1.95 MB ⊙ 提交日期:2007-1-1 ⊙ 访问次数:1590 ⊙ 下载地址:下载地址 ⊙ 工具简介感染了Arp欺骗病毒(木马)的电脑的症状表现如下: 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网.倘若该病毒机器突然关机或离线,则其它机器又要重

  • 完美清除局域网中ARP病毒的软件

    1.打开AntiArp Sniffer,检查右侧[管理]栏内是否自动获取了网关地址,如果没获取,则手动输入网关地址,再单击[枚取MAC].MAC地址获取后再单击[自动保护]即可!如图:screen.width-500)this.style.width=screen.width-500;" border=0>2.运行一段时间后,若弹出提示说"发现ARP欺骗数据包",则可以在"欺骗数据详细记录"看到"欺骗机MAC地址"既是中了ARP病

  • ARP病毒入侵原理和解决方案

    解决ARP攻击的方法 [故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [故障原理] 要了解故障原理,我们先来了解一下ARP协议. 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞. ARP协议是"Address Resolution Protocol"(地址解析协议)

  • arp病毒 防止arp病毒的批处理

    复制代码 代码如下: @echo off   ::::::::::::::::::::::::::::::::::::::::::::::::::::   : 本机以及网关IP和MAC地址绑定批处理程序::   ::::::::::::::::::::::::::::::::::::::::::::::::::::   arp -d   :::::::::读取本机Mac地址   if exist ipconfig.txt del ipconfig.txt   ipconfig /all >ipc

  • ARP病毒杀除方法总结

    方法一: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序"): "%windows%\System32\drivers\npf.sys" (window xp 系统目录为:

  • 最近流行的ARP病毒彻底清除方法

    前几天回学校交论文,好多同学的电脑上都中了这号病毒,卡巴,瑞星也老杀不干净,后来大家通过上网找资料和请教一些高手,终于解决了,现在把经验同大家分享: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序&qu

随机推荐