看看这篇文章:
最挠头的问题来了,症状:客户机打开的网页查看源代码都被加了一行< frame src='http://iii.832823.cn/aaa.htm' width=100 height=1></i-frame-X>,位置不固定,打开该网页的机器都连接该网页下载病毒,有可能造成杀毒软件报警.这个情况有很多原因造成,总结了下,先说web服务器端的原因,最简单的,页面文件,js或者包含文件被直接篡改,添加了以上内容,这个好办,改回来就是,平时仔细设置文件权限,读取的内容决不给写入权限,消灭所有系统漏洞.稍微复杂的, iis病毒利用系统漏洞,不修改网页文件本身,是在iis处理的过程中,将代码加入网页传递给客户端,造成浏览的用户中毒.解决方法,重装iis,打好补丁.手工查杀可以新建一只有一个页面一行代码的网站,打开filemon监视文件,打开网站,看filemon的监控记录,我碰到的是除调用网站本身文件之外,还调用了C:\Inetpub\wwwroot\iisstart.htm,去瞅了瞅,那行该死的代码就在里边呢,删了它就好了,当然手工修复之前先清除木马什么的,要不还会被他修改回来的.最讨厌的,ARP病毒挂马,就是俺这次碰上的,ARP欺骗,顾名思义,就是通过ARP协议对客户和路由进行欺骗,电脑在局域网内通信是通过mac地址实现的,网关A和客户机B各自维护着一张ARP表,机器C通过ARP欺骗,将B的arp表中网关的MAC改成它自己的的,从而使客户机B的数据先发送到C,它处理完后才转发给真正的网关,当然,也可以欺骗网关,将原本发送B的数据也拦截下来。所以,不管是C是攻击者还是病毒的受害者,它都在该局域网内充当了一个代理或者第二网关,理论上未作保护的网络中所有的数据都会通过机器C的转发或处理,这样就可以理解ARP病毒挂马的原理了,如果A是web服务器,B是正常用户,不论C是在A还是B的局域网内,都可以抓下服务器发送的http数据包,加入上边的代码后再转发给B,造成打开网页被挂马。所以有时候有人说打开sohu,sina这种超级大站也能发现病毒,其实真是冤枉人家了,要么是本机,要么是本地局域网络中有中arp挂马病毒。对于网站管理员来说,区分服务器被挂马还是客户端网络被挂马还是比较重要的,现在大部分服务器都放着N多网站,在服务器本地使用http://127.0.0.1或http://本机ip的方式打开网页,若所有的网页还是有不明代码出现,可确定服务器本身中奖,建议用上面filemon的方式杀毒。在该局域网内通过http://服务器ip 的方式登陆,因为arp欺骗的不稳定性,存在病毒的的话网页也不是100%都会被挂上木马。至于说一般用户,发现163,sohu,sina 等等大站也出现不明代码,还是从自己这里找找原因吧,或者直接反映给管理员。
ARP病毒现在真是越来越泛滥了,最可怕的就是你本身没中毒,也可能造成密码泄漏,挂木马,掉线==问题,没有很好地解决办法,相对来说pppoe拨号稍微安全点,局域网用户只能通过在本地和网关的双向绑定来确保安全了。偶就是这么解决的,实在没有精力去追杀染毒的用户了,我花一个小时杀,它能五分钟给你再感染上,得不偿失!!网管同志可以在dns或者域名过滤上下下功夫,让病毒网站域名无法解析是个被动的有效的解决办法,就是不大好搜集,呵呵。
乱七八糟写了一大堆,水平所限,有问题的话大家交流,别拍我。顺便问候一下832821.cn,832822.cn,832823cn,878772.cn,69642.cn,3696781.cn的注册人李想的母亲,教教孩子去攻击攻击国外网站,别成天在国内放毒,招人骂,惹人厌,弄不好就玩到公安局去,我代表广大的受害者鄙视你,人渣。