[转]IIS被挂马,解决一法
星期六日是黑暗的两天,网站被加载木马.所有用户访问都被加了一段JS代码.工作组不断查找和分析,捉包完全没有发现任何欺骗信息. 另外,主机发出的包已经加载了这段代码,所以怀疑服务器被入侵.无奈技术有限并且信息不足,至终找不到入侵源头(也许是程序漏洞)
在重装系统,更换主机后,网站恢复了. 上网找了相关资料,认定这次是IIS中毒影响.转一篇来自84ren.com高人zcm123 的见解,受益良多~ 呵呵
一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了
A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.
什么是ARP?
英文原义:Address Resolution Protocol
中文释义:(RFC-826)地址解析协议 局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在
发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到。
============================================================================
解决方案如下:
联系机房,用拨网线的排除法,找出同路由内中了类似47555病毒的机器,隔离。杀毒。
其他机器,遇到这种情况,重装系统是没用的。
Asion注:ARP和挂马 有很深的学问
来源:http://i.mop.com/Noisa/blog/2008/03/13/6264338.html
页:
[1]