歡迎來到電腦114營銷網!電腦知識入門從此開始,我們為您準備了網絡營銷技巧知識,電腦知識大全等。
首頁網絡營銷知識專欄電腦知識大全專欄
 其他主題: 營銷快訊 | 自媒體營銷 | 電子商務 | 網站優化 | 數碼生活 | MP3/MP4 | U盤 | 手機 | 打印機
  電腦與健康 | 日志美文欣賞 | 設計專區
加入收藏
網站地圖
電腦知識入門:操作系統
操作系統
電腦知識入門:電腦故障
電腦故障
電腦知識入門:程序編程
程序編程
電腦知識入門:硬件知識
硬件知識
電腦知識入門:軟件知識
軟件知識
電腦114營銷網,電腦知識大全,網絡營銷技巧,電腦知識入門
電腦知識入門:計算機網絡應用
網絡應用
網絡營銷知識:建站經驗
建站經驗
網絡營銷知識:網絡營銷
網絡營銷
網絡營銷知識:SEO教程
SEO教程
網絡營銷知識:草根創業
草根創業
首頁
網絡營銷知識
電腦知識大全
   
 推薦欄目:   · win 10   · windows 7/8  · 電腦知識精華  · 理財相關  · 草根創業  · 便利店創業專題  · 藥店創業專題
 ·  百度算法更新大全  · 網絡營銷工具 · SEO七大細節 · 如何做好seo網站優化 ·  100條公眾號運營技巧
 ·  做自媒體常用的軟件和素材 · 自媒體營銷的平臺 · 電腦技巧小常識 · 自媒體怎么做才算好 ·  如何開藥店創業

網站ARP攻擊被掛馬彈出廣告窗口解決實戰

來源: 發表時間:2013/9/7  

關鍵詞:ARP 網站ARP攻擊 掛馬彈出廣告窗口
本文是介紹有關"網站ARP攻擊被掛馬彈出廣告窗口解決實戰"的文章,如果你喜歡請收藏或點擊右側分享按鈕分享到朋友圈或分享給你的好友。
題記:如果你是從搜索引擎搜到這里的,我相信你一定非常著急,廢話不多說,直入主題。其余感悟我挪到文章最后說。

  我這里討論是博客最近被ARP攻擊的例子,煩死了。表現形式為網站被iframe掛馬,彈出大量色情網站,問題出現了11個小時,這11小時都在血淚的探索中解決。

血與淚的經驗:服務器ARP的欺騙攻擊與防范

 

  判斷ARP攻擊方法

  一臺服務器幾乎所有網站打開網頁HTML都被自動加上如這種樣式的代碼,有的在頭部,有的在尾部,部分殺毒軟件打開會報毒,打開HTML或ASP、PHP頁面,在源碼中怎么也找不到這段代碼。

  首先你可以隨意建一個HTML文件上傳到服務器,通過網站打開,如發現這個文件加入了iframe代碼那說明中招了。

  解決辦法

  第一種方法:檢查IIS文檔頁腳

血與淚的經驗:服務器ARP的欺騙攻擊與防范

  注意紅框處,無特殊情況文檔頁腳是不會被啟用的,如果你看到這里勾選并指向了一個本地HTML文件,你可以打開指向本地文件查看是否為木馬病毒代碼。

  第二種方法:檢查MetaBase.xml文件

  MetaBase.xml是IIS里的一個配置文件,位置是:

  C:\WINDOWS\system32\inetsrv\MetaBase.xml

  檢查是否被添加上如下一段代碼:

  AccessFlags="AccessRead | AccessScript"

  AppFriendlyName="默認應用程序"

  AppIsolated="2"

  AppRoot="/LM/W3SVC/81120797/Root"

  AuthFlags="AuthAnonymous | AuthNTLM"

  DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"

  DefaultDocFooter=后面一般都是跟一個本地的文件,木馬病毒就在這里了,把這段刪除即可。

  特別提示:MetaBase.xml無法直接修改,需要停止IIS服務才能修改,或者在IIS管理器中右擊本地計算機--選擇屬性,勾選"允許直接編輯配置數據庫",這樣就可以在不停止IIS的情況下編輯metabase.xml文件。

  第三種方法:檢查ISAPI篩選器

  目前這些DLL加載的文件,任何一款殺毒軟件和殺木馬軟件還不能有效發現并殺掉,還得靠肉眼來實現。所以方法也很簡單:

  打開IIS,右鍵點擊網站,屬性——找到ISAPI選項卡,檢查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL刪除,重啟IIS即可。

血與淚的經驗:服務器ARP的欺騙攻擊與防范

  第四種方法:檢查global.asa木馬

  先解釋一下這個代碼的作用:因為global.asa 文件是網站啟動的文件,當一個網站被用戶訪問的時候,會執行Application_Start代碼段的內容,當一個用戶第一次訪問時會執行Session_Start代碼段的內容,所以此段代碼的作用就是當訪問的時候自動下載獲取木馬內容,上面遇到的就是跳轉性作用的木馬代碼。

  global.asa木馬一樣平常不會影響網站的正常運行,黑客一樣平常行使global.asa木馬不是為了來破壞網站的運行,他們與網站黑鏈類似,一樣平常是對網站的搜索引擎收錄產生特別很是惡劣的影響。常體現為搜索引擎收錄大量莫名其妙的網站題目,而這些題目絕對不是本身網站發布的內容,點擊鏈接進入的依然是本網站的頁面,但題目不同,點擊百度快照發現百度提醒:“對不起,您所查看的網頁不許可百度保存其快照,您可以直接訪問某某網址”,沒錯!這說明你的網站已經中招了!它的直接后果是網站在搜索引擎的排名降落或者徹底消散,緊張的還會讓訪問者在訪問你的網站的時候電腦中毒!

  

血與淚的經驗:服務器ARP的欺騙攻擊與防范

 

  global.asa這個文件一般是在根目錄下的,屬于系統文件只能在cmd命令下強制刪除。如果自己不會刪除的話你可以找自己的空間商讓他們給你刪除這個木馬。

  特別提示:以上方法均不起作用

  上面提到的這些防ARP攻擊的方法,都是從網上搜的,所有的方法起碼重復了三遍,但是問題依舊沒有解決,后面才知道,IFRAME被植入有兩種情況:

  一、就是有人在你的IIS上動了手腳,方法查找被修改的配置文件,或直接重裝。

  二、如果你重裝還是沒有解決,那就是ARP欺騙攻擊,和你同一個服務器的局域網段的其他服務器有問題,裝ARP防火墻和向網管反映這個情況。解決這個問題要使用排除法找到真正原因,對癥下藥:)

  花了大量時間排查,整整耽誤了11個小時,后面才恍然大悟,原以為是自己服務器出問題了,沒想到是局域網段其他服務器的問題。后面裝了個360ARP防火墻才解決此問題。

  擴展閱讀:

  ARP欺騙原理:

  在局域網中,通信前必須通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)。ARP協議對網絡安全具有重要的意義,但是當初ARP方式的設計沒有考慮到過多的安全問題,給ARP留下很多的隱患,ARP欺騙就是其中一個例子。而ARP欺騙攻擊就是利用該協議漏洞,通過偽造MAC地址實現ARP欺騙的攻擊技術。

  在同一局域網內的電腦都是通過MAC地址進行通訊的。方法為,PC和另一臺設備通訊,PC會先尋找對方的IP地址,然后在通過ARP表(ARP表里面有所以可以通訊IP和IP所對應的MAC地址)調出相應的MAC地址。通過MAC地址與對方通訊。也就是說在內網中各設備互相尋找和用來通訊的地址是MAC地址,而不是IP地址。

  網內的任何一臺機器都可以輕松的發送ARP廣播,來宣稱自己的IP和自己的MAC.這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項,記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機器也會接受。有了這個方法欺騙者只需要做一個軟件,就可以在局域網內進行ARP欺騙攻擊了。

  ARP的發現:

  ARP的通病就是掉線,在掉線的基礎上可以通過以下幾種方式判別,1.一般情況下不需要處理1分鐘之內就可以回復正常上網。因為ARP欺騙是由時限,過了期限就會自動的回復正常。而且現在大多數路由器都會在很短時間內不停廣播自己的正確ARP,使受騙的機器回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),他是不斷的通過非常大量ARP欺騙來阻止內網機器上網,即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2.打開被騙機器的DOS界面,輸入ARP -A命令會看到相關的ARP表,通過看到的網關的MAC地址可以去判別是否出現ARP欺騙,但是由于時限性,這個工作必須在機器回復正常之前完成。如果出現欺騙問題,ARP表里面會出現錯誤的網關MAC地址,和真實的網關MAC一對黑白立分。

  下面在談談幾款ARP防火墻的使用感受:

  安全狗

  我首先想到的是安全狗,在服務器這塊很出名,ARP攻擊后,我第一時間裝上了,這也是我悲催的開始。裝好軟件后,點“體檢”,當初我還以為是查到木馬了要重啟,結果服務器開不了機了,反反復復好幾次,我就意識到這不是殺毒呢,而是服務器關機了。

  由于是周末,IDC值班人少,反復的關機、開機浪費了整整4個小時。最后才明白應該就是安全狗和服務器什么東西有沖突導致的。

  網站地址:http://www.safedog.cn/

  D盾

  好幾個朋友向我推薦了D盾,尤其是他的Web查殺工具,這款工具能夠非常詳細的檢查每一個程序文件是否被掛馬。正是因為用了這款工具檢查后,我才意識到盧松松博客程序沒有問題,

  網站地址:http://d99net.net/

  360ARP防火墻

  上面兩個都有ARP防火墻的,裝上之后發現沒一個管用的(也許是不會用的關系),后面裝了360ARP之后,iframe掛馬立刻消失。為了確定到底能否使用,我反復啟動和關閉軟件幾次,可以確定360ARP確實起作用了。

  通過追蹤ARP攻擊來源,發現是同局域網下另一臺服務器總是向我發送ARP欺騙請求,后面通過IP查到域名,通過域名找到了郵件,給她發了封郵件告訴她服務器被黑了。

  強烈推薦一下360ARP,幫我解決了大問題:

  免費的360ARP防火墻的下載地址是:http://dl.#/360AntiArp.exe

  寫在最后:

  說一千道一萬,還是服務器安全做的不到位,ZSX告訴我:你博客真遭人黑,通過日志查到了各種掃描器。



本文地址: http://www.qwqpoo.tw/test/13957.htm 喜歡請分享!

 

114營銷網手機端

二維碼 掃一掃

關注更多精彩內容

114營銷網轉載內容均注明出處,轉載是出于傳遞更多信息之目的,如"網站ARP攻擊被掛馬彈出廣告窗口解決實戰"有侵犯您的版權請聯系我們,一經查實,本站將立刻刪除涉嫌侵權內容。本網注明來源"電腦114營銷網"之一切文章由我站原創,禁止轉載。
上一篇:卸下非引導硬盤后電腦不啟動
下一篇:網絡營銷系統工程:網絡營銷工作的七大核心
教育頻道 健康頻道

精彩圖文


 
有效預防黑客DDoS攻擊的技巧
有效預防黑客DDo
Android病毒借奧運傳播 手機淪為病毒競技場
Android病毒
本欄推薦
 
   有效預防黑客DDoS攻擊的技巧
   手機銀行短信驗證碼有被攔截風險
   易致手機重啟 谷歌Nexus設備
   網站ARP攻擊被掛馬彈出廣告窗口
   Android重大安全漏洞或導致
   移動安全再現驚天危機 安全管家首
   新手機病毒感染70余款手游 竊取
   Android曝重大漏洞:可能影
   “好聲音二”回歸引上千釣魚網站瘋
   360安全衛士新增“連我WiFi
本站熱點
 
  PS 如何去水印
  PhotoShop基礎教程:照片
  浩辰CAD教程 塊填充實例
  告別面部斑點 美圖秀秀還你美人臉
  顏色亮起來 美圖秀秀DIY靚麗外
  CAD教程:新舊文字機制對比及切
  神奇女俠COS太像加朵本尊,網友
  蘋果iPhone X上市在即:官
  庫克:學習編程比學習英語更重要
  中國夢想秀 山東8歲小蘿莉丫丫彈
最新新聞
網絡營銷技巧 網絡營銷知識學習
 
電腦114營銷網專注網絡營銷知識自媒體營銷、站長創業、電腦知識入門自媒體怎么做的總結與研究。喜歡請分享
(c)CopyRight 2008-2018 電腦114營銷網 版權所有  :本站網絡圖片版權歸原處所有 如有侵權請聯系本站
備案/許可證編號為: 豫ICP備09002090號  114營銷網
掃描右側二維碼公眾號關注本站
福建体彩22选5今天开奖