-
题记:如果你是从搜索引擎搜到这里的,我相信你一定非常着急,废话不多说,直入主题。其余感悟我挪到文章最后说。
我这里讨论是卢松松博客最近被ARP攻击的例子,烦死了。表现形式为网站被iframe挂马,弹出大量色情网站,问题出现了11个小时,这11小时都在血泪的探索中解决。
判断ARP攻击方法
一台服务器几乎所有网站打开网页HTML都被自动加上如<iframe src=XXXX width=0 height=0>的iframe代码,经检查程序、JS、CSS的时间都没有被修改。
这种样式的代码,有的在头部,有的在尾部,部分杀毒软件打开会报毒,打开HTML或ASP、PHP页面,在源码中怎么也找不到这段代码。
首先你可以随意建一个HTML文件上传到服务器,通过网站打开,如发现这个文件加入了iframe代码那说明中招了。
解决办法
第一种方法:检查IIS文档页脚
注意红框处,无特殊情况文档页脚是不会被启用的,如果你看到这里勾选并指向了一个本地HTML文件,你可以打开指向本地文件查看是否为木马病毒代码。
第二种方法:检查MetaBase.xml文件
MetaBase.xml是IIS里的一个配置文件,位置是:
C:\WINDOWS\system32\inetsrv\MetaBase.xml
检查是否被添加上如下一段代码:
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默认应用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"
DefaultDocFooter=后面一般都是跟一个本地的文件,木马病毒就在这里了,把这段删除即可。
特别提示:MetaBase.xml无法直接修改,需要停止IIS服务才能修改,或者在IIS管理器中右击本地计算机--选择属性,勾选"允许直接编辑配置数据库",这样就可以在不停止IIS的情况下编辑metabase.xml文件。
第三种方法:检查ISAPI筛选器
目前这些DLL加载的文件,任何一款杀毒软件和杀木马软件还不能有效发现并杀掉,还得靠肉眼来实现。所以方法也很简单:
打开IIS,右键点击网站,属性——找到ISAPI选项卡,检查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL删除,重启IIS即可。
第四种方法:检查global.asa木马
先解释一下这个代码的作用:因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。
global.asa木马一样平常不会影响网站的正常运行,黑客一样平常行使global.asa木马不是为了来破坏网站的运行,他们与网站黑链类似,一样平常是对网站的搜索引擎收录产生特别很是恶劣的影响。常体现为搜索引擎收录大量莫名其妙的网站题目,而这些题目绝对不是本身网站发布的内容,点击链接进入的依然是本网站的页面,但题目不同,点击百度快照发现百度提醒:“对不起,您所查看的网页不许可百度保存其快照,您可以直接访问某某网址”,没错!这说明你的网站已经中招了!它的直接后果是网站在搜索引擎的排名降落或者彻底消散,紧张的还会让访问者在访问你的网站的时候电脑中毒!
global.asa这个文件一般是在根目录下的,属于系统文件只能在cmd命令下强制删除。如果自己不会删除的话你可以找自己的空间商让他们给你删除这个木马。
特别提示:以上方法均不起作用
上面提到的这些防ARP攻击的方法,都是从网上搜的,所有的方法起码重复了三遍,但是问题依旧没有解决,后面才知道,IFRAME被植入有两种情况:
一、就是有人在你的IIS上动了手脚,方法查找被修改的配置文件,或直接重装。
二、如果你重装还是没有解决,那就是ARP欺骗攻击,和你同一个服务器的局域网段的其他服务器有问题,装ARP防火墙和向网管反映这个情况。解决这个问题要使用排除法找到真正原因,对症下药:)
花了大量时间排查,整整耽误了11个小时,后面才恍然大悟,原以为是自己服务器出问题了,没想到是局域网段其他服务器的问题。后面装了个360ARP防火墙才解决此问题。
扩展阅读:
ARP欺骗原理:
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术。
在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。
ARP的发现:
ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。
下面在谈谈几款ARP防火墙的使用感受:
安全狗
我首先想到的是安全狗,在服务器这块很出名,ARP攻击后,我第一时间装上了,这也是我悲催的开始。装好软件后,点“体检”,当初我还以为是查到木马了要重启,结果服务器开不了机了,反反复复好几次,我就意识到这不是杀毒呢,而是服务器关机了。
由于是周末,IDC值班人少,反复的关机、开机浪费了整整4个小时。最后才明白应该就是安全狗和服务器什么东西有冲突导致的。
D盾
好几个朋友向我推荐了D盾,尤其是他的Web查杀工具,这款工具能够非常详细的检查每一个程序文件是否被挂马。正是因为用了这款工具检查后,我才意识到卢松松博客程序没有问题,
网站地址:http://d99net.net/
360ARP防火墙
上面两个都有ARP防火墙的,装上之后发现没一个管用的(也许是不会用的关系),后面装了360ARP之后,iframe挂马立刻消失。为了确定到底能否使用,我反复启动和关闭软件几次,可以确定360ARP确实起作用了。
通过追踪ARP攻击来源,发现是同局域网下另一台服务器总是向我发送ARP欺骗请求,后面通过IP查到域名,通过域名找到了邮件,给她发了封邮件告诉她服务器被黑了。
尽管360口碑不是那么好,但它能解决问题,还是推荐一下360ARP:下载地址是:http://dl.360.cn/360AntiArp.exe
写在最后:
说一千道一万,还是服务器安全做的不到位,ZSX告诉我:你博客真遭人黑,通过日志查到了各种扫描器。
顶: 0 踩: 0来源:卢松松博客 QQ/微信:13340454
血与泪的经验:服务器ARP的欺骗攻击与防范
| 阅读量 | 分类: 经验心得 | 作者: 卢松松
相关文章阅读更多:网站安全 服务器
- 2024-06-04 云计算行业快死了
- 2022-02-15 域名如何续费最便宜?
- 2021-12-05 百度云加速每天免费流量额度由10G降低到了5G
- 2020-08-11 阿里云 腾讯云 华为云 三家云服务器使用感受
- 2019-08-04 阿里云、腾讯云的恩怨情仇
- 2019-08-03 全面上云:阿里云攻下传统IT的十年战事
- 2019-06-27 工信部同意建设中国自己的域名根服务器
- 2019-03-03 阿里云今日又出现大规模宕机了
- 2019-02-20 飞扬军事论坛宣布服务器将关停、停止运营
- 2018-09-13 曾火爆的数码“TomPDA网站”服务器宣布到期关闭
- 2018-04-10 阿里云服务器如何选择及使用体验!
- 2018-02-01 A站服务器或将被关闭
- 2017-12-22 男子私搭**服务器5年获利50余万被判5年
- 2017-12-03 如何评价阿里云、百度云、腾讯云三大云服务器的产品?
- 2021-09-08凡是在卢松松博客投稿的作者都有机会得到IT类图书哦!
发表感想加入微信群
壹世云免备案高防CDN无视CC
流氓软件工作过程
老姜
养生网
九块九包邮
游戏支付平台
jason
ram
yahoo
啄酷网
王牌网赚论坛
声卡驱动器官方下载
黑苹果博客
**乡
无名
我后面一直在用这个 feedfeedsky/zui5 还不错 没有什么影响
但是我又发现 你说恢复的是这个吗 lusongsong/feedasp
开始的两个都是很早文章查看到的 最后一个是订阅里搜索到的
学舞网
徐佳文博客
NetSH
achair
胡天硕
木篱笆
老米的博客
山药网
dream
周易a**
招财开运密码
名站库
运动服装
在线博饼
小宝博客
玉满斋
美甲易学网
数字制造网
汽车坐垫博客
龙三公子
电脑中国
汽车坐垫博客
java武林
中国象棋残局破解
265门户莎莎
东
星星之火
凯歌在线
小V
常州货运公司
依依社区
豆包网
糖果ktv
百度竞价外包
麦霸ktv
夏日博客
265莎莎
运动服装
香港新世界机房
北京科瓦齿科
苗木基地
师易网
漠阳子
杨南强
熙麟
面子至上
王明明
啄酷
闹着玩下博客
精品购物指南
网络赚钱网
另外从博主文章中也得知原来源代码没问题,服务器被攻击也会受影响,学习了,以备后用
夕阳红老花镜
网商基地
网商基地
旅行者
会淹死的鱼
PHP二次开发
开心搞笑吧
心维随笔
双手揣兜
站长百科
外贸网站建设
21氪
名人故事网
网赚圈