一臺服務(wù)器幾乎所有網(wǎng)站打開網(wǎng)頁 甚至HTML網(wǎng)頁 都出現(xiàn)了
<i*f*r*a*m*e src="http://xxx.xx.htm" height=0
width=0></<i*f*r*a*m*e>
這種樣式的代碼 有的在頭部 有的在尾部 部分殺毒軟件打開會報毒
打開HTML或ASP PHP頁面 在源碼中怎么也找不到這段代碼
分析原因
首先懷疑ARP掛馬,用防ARP的工具又沒有發(fā)現(xiàn)有arp欺騙
而且arp欺騙一般不會每次都被插入代碼,而是時有時無
而且使用
http://127.0.0.1
或者
http://localhost
訪問的時候也可以找到這段代碼
arp欺騙的可能排除。
然后就想到可能是JS被篡改,或者是其它的包含文件,查找后沒有發(fā)現(xiàn)被改的頁面
連新建的HTML頁面瀏覽的時候也會被插入這段代碼,那就只能是通過IIS掛上去的了。
備份iis數(shù)據(jù)然后重裝iis,代碼消失,將備份的iis恢復(fù),問題又來了。
仔細(xì)尋找,問題應(yīng)該出在IIS的配置文件上,打開配置文件,沒有發(fā)現(xiàn)那段代碼。
那很有可能是調(diào)用了某個文件,這個怎么查啊,忽然想起了大名鼎鼎的Filemon
本地載了一個上傳到服務(wù)器上,,打開Filemon,數(shù)據(jù)太多了,過濾掉一些沒有用的
只留下iis的進程,數(shù)據(jù)還是很多,看來服務(wù)器上的站點還是挺多人在訪問的。
關(guān)掉所有站點,建了一個測試站點anky 目錄為D:\www\ 在下面建了一個空白頁面test.htm
訪問一下這個頁面代碼被插進來了,再看一下Filemon 奇怪怎么讀取C:\Inetpub\wwwroot\iisstart.htm
打開C:\Inetpub\wwwroot\iisstart.htm一看,里面就躺著
<<i*f*r*a*m*e src="http://xx.xxx.jj.htm" height=0
width=0></<i*f*r*a*m*e>
把代碼刪除了留空,訪問test.htm 正常了,把C:\Inetpub\wwwroot\iisstart.htm刪除了再訪問
test.htm 出現(xiàn) “讀取數(shù)據(jù)頁腳文件出錯”問題就出這里了,看來是調(diào)用了
這個文件。
把C:\Inetpub\wwwroot\iisstart.htm清空就正常了,這樣怎么行,解決問題當(dāng)然要連根拔掉。
continue
有沒有可能是擴展造成的,到擴展中檢查了一遍全部都是正常的
當(dāng)然 通過ISAPI 掛馬的也是存在的
左想右想最后還是覺得配置文件有問題
打開配置文件,配置文件在%windir%\system32\inetsrv\Metabase.xml
用記事本打開,查找iisstart.htm 找到一行,開始以為是默認(rèn)站點,后來一想不對啊
默認(rèn)站點都刪除了,再仔細(xì)一看這句代碼為
DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"
刪除掉這一行,問題徹底解決了。
==========================================================================
現(xiàn)象:不管是訪問服務(wù)器上的任何網(wǎng)頁,就連404的頁面也會在<html>后加入
<<i*f*r*a*m*e SRc=http://xxx.xxx.com/k.htm width=1 height=1
frameborder=0></<i*f*r*a*m*e>,掛馬的位置在html標(biāo)記左右,上面這段惡意代碼,它會每隔幾秒
加入代碼,也就是說在輸出具體的東西之前就被掛了,有時有有時又沒有,不是網(wǎng)頁源代碼問題,也沒有在網(wǎng)頁源代碼中加入惡意代碼,即使重裝服務(wù)器,格式化重
分區(qū)過第一個硬盤,放上去網(wǎng)站沒多久一樣再會出現(xiàn)這種情況。
首先就排除了網(wǎng)站被入侵的可能,因為首頁能加在那個位置只能是title的地方,用js控制也不大可能.然后去看了php.ini的設(shè)置也沒有任何的異
常,而且這個插入的代碼有的時候出現(xiàn)有的時候不出現(xiàn),說明不是網(wǎng)站的問題了.打開同服務(wù)器的其他網(wǎng)站也有這個情況發(fā)生,而且狀況一一樣.檢查并且搜索掛馬
的關(guān)鍵字之后確定不是網(wǎng)站程序的問題.
那么剩下的要么是IIS自己出了問題,要么是網(wǎng)絡(luò)的問題,因為數(shù)據(jù)是處理沒有問題(這個由程序輸出,而且即使是html都會出問題),經(jīng)過一個一個排查,
最后基本可以確定就是arp欺騙欺騙數(shù)據(jù)報走向,然后中間人修改一些定義的關(guān)鍵字.因為是網(wǎng)絡(luò)層次有問題(所以重做系統(tǒng)是沒有用的).
目的:通過arp欺騙來直接掛馬
優(yōu)點:可以直接通過arp欺騙來掛馬.
通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺主機來監(jiān)聽密碼,或者結(jié)合ssh中間人攻擊來監(jiān)聽ssh1的密碼.
但這樣存在局限性:
1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽到密碼
2.目標(biāo)主機只開放了80端口,和一個管理端口,且80上只有靜態(tài)頁面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽
到密碼.
優(yōu)點:
1.可以不用獲得目標(biāo)主機的權(quán)限就可以直接在上面掛馬
2.非常隱蔽,不改動任何目標(biāo)主機的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中間直接插入掛馬的語句.
3.可以最大化的利用arp欺騙,從而只要獲取一臺同一vlan下主機的控制權(quán),就可以最大化戰(zhàn)果.
原理:arp中間人攻擊,實際上相當(dāng)于做了一次代理。
正常時候: A---->B ,A是訪問的正常客戶,B是要攻擊的服務(wù)器,C是被我們控制的主機
arp中間人攻擊時候: A---->C---->B
B---->C---->A
實際上,C在這里做了一次代理的作用
那么HTTP請求發(fā)過來的時候,C判斷下是哪個客戶端發(fā)過來的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比
如<愛生活,愛貓撲>...之類,再將修改過的包返回的正常的客戶A,就起到了一個掛馬的作用.在這個過程中,B是沒有任何感覺的,直接攻擊
的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了.
什么是ARP?
英文原義:Address Resolution Protocol
中文釋義:(RFC-826)地址解析協(xié)議 局域網(wǎng)中,網(wǎng)絡(luò)中實際傳輸?shù)氖?#8220;幀”,幀里面是有目標(biāo)主機的MAC地址的。所謂“地址解析”就是主機在
發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址以保證通信的順利進
行。
注解:簡單地說,ARP協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的32為IP地址轉(zhuǎn)換為對應(yīng)的48位物理地址,即網(wǎng)卡的MAC地址,比如IP地址為192.168.0.1
網(wǎng)卡MAC地址為00-03-0F-FD-1D-2B。整個轉(zhuǎn)換過程是一臺主機先向目標(biāo)主機發(fā)送包含IP地址信息的廣播數(shù)據(jù)包,即ARP請求,然后目標(biāo)主
機向該主機發(fā)送一個含有IP地址和MAC地址數(shù)據(jù)包,通過MAC地址兩個主機就可以實現(xiàn)數(shù)據(jù)傳輸了。
應(yīng)用:在安裝了以太網(wǎng)網(wǎng)絡(luò)適配器的計算機中都有專門的ARP緩存,包含一個或多個表,用于保存IP地址以及經(jīng)過解析的MAC地址。在Windows中要查
看或者修改ARP緩存中的信息,可以使用arp命令來完成,比如在Windows XP的命令提示符窗口中鍵入“arp -a”或“arp
-g”可以查看ARP緩存中的內(nèi)容;鍵入“arp -d
IPaddress”表示刪除指定的IP地址項(IPaddress表示IP地址)。arp命令的其他用法可以鍵入“arp /?”查看到。
============================================================================
解決方案如下:
聯(lián)系機房,用撥網(wǎng)線的排除法,找出同路由內(nèi)中了類似47555病毒的機器,隔離。殺毒。
其他機器,遇到這種情況,重裝系統(tǒng)是沒用的。
Asion注: ARP和掛馬 有很深的學(xué)問
來源:http://i.mop.com/Noisa/blog/2008/03/13/6264338.html