前段时间管理的一台WEB服务器出现了问题,根据用户反映,在打开此网站时,会出现在页面首部出现一个
的网页链接,这个看来就是执行的木马程序了。但是,我查遍了网站页面的源代码,却也没有发现任何地方存在这个链接,看来这个和以前的问题是不同了,需要重新考虑。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
首先考虑会不会是在服务器端的注册表或者相关的执行文件中出现了问题?查找注册表中对应IP地址(或者域名)链接的键值,终于在SOFTWARE---MICROSOFT---SEARCH ASSISTANT---ACMRU下面,找到了两个分别为000和001的记录,里面有这个IP的键值,删除后,重新启动服务器。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
刚刚打开页面,似乎一切安好,但是,如果多刷新几次,又出现了类似的问题了!
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
考虑到是否是客户端缓存的问题,清空IE缓存与历史记录,问题仍然存在鸟~~~~~~
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
但是,我发现了一个问题,就是这种木马植入并非总是出现的,它有一定的频率,往往在页面刷新后就消失,然后过几秒钟又出现,看来这个不是一般的恶意代码攻击了
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
用360防火墙处理,服务器本地系统是正常的,虽说360风评不太
aEw`Ik�ZZ:�[�2U'R0好,但是毕竟还不完全是废物点心,所以问题可能还是出现在外部!
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
有人说可能是IIS遭遇攻击了,我查阅了网络文章,发现了一篇《一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了木马代码》的文章,文中提出用FILEMON工具软件,监测与IIS有关的文件读写(可以在程序中设置“IIS”的过滤白名单),然后发现蛛丝马迹,从而解决问题的实例。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
不过此文中有句话引起了我的注意“这次攻击不想ARP欺骗,时有时无”,我的故障恰好符合这一点,难道是ARP攻击?
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
为了测试,准备下载ARP防火墙,但是网上没有好用的,我这个是测试用的,如果正式使用当然还要购买正版啦 :-) 费了好半天,加了一个班
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
终于找到一个可以使用的ARP防火墙,叫 AntiARPNoad 的,有雷锋的汉化版,安装覆盖后,马上就提示“ARP攻击!”
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
这个攻击方似乎伪装成机房同网段的IP地址,进行攻击,然后经过若干小时的较量,在抵御了数千次攻击后,终于暂时把这个恶魔防住了。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
