服务器ARP病毒的特征及防护说明
近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码
在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什
么原因造成的呢?
答:这是近期流行的ARP病毒造成的。
具体地说,就是您的服务器所在的机房有上百台服务器,其中有一台服
务器被人入侵并安装了ARP病毒,虽然并不是您自己的服务器被入侵,
但也会严重影响到其他服务器包括您自己的服务器。
例如:机房只要有其中一台带毒的服务器被入侵后,它就会向同一个机
房其它的服务器广播这样的欺骗性信息:“我是网关,大家发包
就通过我”,其它服务器收到这个的信息后会自动将正常的数据
发给了这台“带毒的服务器”,这台“带毒的服务器”会在正常
的数据(一般是网页)中插入病毒代码,当您用IE在远程访问
自己服务器的网站时,就会发现您自己的服务器上所有网站莫名
其妙的都被插入了“病毒代码”,但您无法在服务器的源文件找
到这些“病毒代码”。
------------------------------------------------------------------------------------------------------------
解决办法:
1. 从上面的分析可以知道,您如果要从根本上解决这个问题,
必须先让您机房找出这台带毒的服务器,然后中断这台带毒
的服务器的网络并进行杀毒。
2. 如果机房不帮助您这样解决问题,您可以强行设置自己的服
务器使用“静态网关”,设置好后,就算收到带毒的服务器
的广播信息:“我是网关,大家发包就通过我”后,一样不
会受到影响。
设置办法如下:
1. 在您的服务器桌面上,
2. 新建立一个名为“防止ARP.bat”的bat格式批处理文件。
文件内容如下:
arp -d *
arp -s 192.168.0.1 03-00-0f-07-a0-0c
(其中 192.168.0.1 这IP要改成您的服务器网关IP,
这个IP您可以问机房来得到)。
(其中 03-00-0f-07-a0-0c 要改成您的服务器网关的
MAC地址,这个地址您也可以问机房来得到)。
注意:如果机房不告诉您MAC地址,您也可以在服务器上
运行arp -a命令,也会看到网关的MAC地址。
提醒:如果存在ARP病毒,这个MAC地址可能是错的,您需
要咨询您的机房确认
3. 设置好批处理文件后,您可以双击运行它,运行后,就会强
行设置自己的服务器使用“静态网关”。这样就可以解决
ARP病毒攻击的问题。
注意:您每次重启服务器后需要重新运行这个“批处理文
件”才能生效。您也可以将这个”批处理文件“加
在“启动项中或加在操作系统的“计划任务”中,
让他能自己运行。
相关推荐
-
服务器ARP病毒的特征及防护说明
近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码 在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什 么原因造成的呢? 答:这是近期流行的ARP病毒造成的. 具体地说,就是您的服务器所在的机房有上百台服务器,其中有一台服 务器被人入侵并安装了ARP病毒,虽然并不是您自己的服务器被入侵, 但也会严重影响到其他服务器包括您自己的服务器. 例如:机房只要有其中一台带毒的服务器被入侵后,它就会向同一个机 房其它的服务器广播这样的欺骗性信息:"我是网关,大家
-
局域网遭遇“ARP”病毒的新变种附临时解决方法
早上来公司发现公司的电脑突然都上不了网,排除了拨号密码等问题,最后只要怀疑是arp病毒导致,于是逐个拔掉网线,首先把感染病毒的电脑断网,我们测试上网一切正常,于是我们就到360safe的官方去下了个,arp防火墙插件,每台电脑都有了arp防火墙,把感染病毒的电脑上网,也不影响我们了,问题解决突然发现原来的arp新变种 复制代码 代码如下: 国家计算机病毒应急处理中心近期监测发现,"ARP"病毒出现了新变种,一旦系统受到感染,可能会导致局域网部分计算机不能正常上网,无法打开网页等现象.
-
解析arp病毒背后利用的Javascript技术附解密方法
本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁! 最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助! 现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继续查看源代码,发现头部有一个js文件链接----<script src=http://9-6.in
-
Cisco路由器和H3C交换设备ARP病毒快速解决办法
Cisco交换机: 在中心交换机上show logging 发现如下日志 Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b84.189e:说明有ARP病毒, 2.执行conf t,mac-address static mac地址 vlan id drop: 3.对有ARP病毒的主机进行了处理,然后在中心交换机上执行 no mac-address st
-
Arp病毒专杀工具 下载
工具类型:综合工具 ⊙ 操作系统:所有Windows系统 ⊙ 工具大小:1.95 MB ⊙ 提交日期:2007-1-1 ⊙ 访问次数:1590 ⊙ 下载地址:下载地址 ⊙ 工具简介感染了Arp欺骗病毒(木马)的电脑的症状表现如下: 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网.倘若该病毒机器突然关机或离线,则其它机器又要重
-
完美清除局域网中ARP病毒的软件
1.打开AntiArp Sniffer,检查右侧[管理]栏内是否自动获取了网关地址,如果没获取,则手动输入网关地址,再单击[枚取MAC].MAC地址获取后再单击[自动保护]即可!如图:screen.width-500)this.style.width=screen.width-500;" border=0>2.运行一段时间后,若弹出提示说"发现ARP欺骗数据包",则可以在"欺骗数据详细记录"看到"欺骗机MAC地址"既是中了ARP病
-
ARP病毒入侵原理和解决方案
解决ARP攻击的方法 [故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [故障原理] 要了解故障原理,我们先来了解一下ARP协议. 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞. ARP协议是"Address Resolution Protocol"(地址解析协议)
-
arp病毒 防止arp病毒的批处理
复制代码 代码如下: @echo off :::::::::::::::::::::::::::::::::::::::::::::::::::: : 本机以及网关IP和MAC地址绑定批处理程序:: :::::::::::::::::::::::::::::::::::::::::::::::::::: arp -d :::::::::读取本机Mac地址 if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipc
-
ARP病毒杀除方法总结
方法一: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序"): "%windows%\System32\drivers\npf.sys" (window xp 系统目录为:
-
最近流行的ARP病毒彻底清除方法
前几天回学校交论文,好多同学的电脑上都中了这号病毒,卡巴,瑞星也老杀不干净,后来大家通过上网找资料和请教一些高手,终于解决了,现在把经验同大家分享: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序&qu