服務熱線:4008-650-660
14
服務器ARP的欺騙攻擊與防范

判斷ARP攻擊方法

一臺服務器幾乎所有網站打開網頁HTML都被自動加上如的iframe代碼,經檢查程序、JS、CSS的時間都沒有被修改。這種樣式的代碼,有的在頭部,有的在尾部,部分殺毒軟件打開會報毒,打開HTML或ASP、PHP頁面,在源碼中怎么也找不到這段代碼。首先你可以隨意建一個HTML文件上傳到服務器,通過網站打開,如發現這個文件加入了iframe代碼那說明中招了。

第一種方法:檢查IIS文檔頁腳

E708D18A1335A31A4CDD4970D7FE5AF3.jpg

注意紅框處,無特殊情況文檔頁腳是不會被啟用的,如果看到這里勾選并指向了一個本地HTML文件,可以打開指向本地文件查看是否為木馬病毒代碼。

 

第二種方法:檢查MetaBase.xml文件

MetaBase.xml是IIS里的一個配置文件,位置是:C:\WINDOWS\system32\inetsrv\MetaBase.xml

檢查是否被添加上如下一段代碼:
--------------------------------------------------------------

AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默認應用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"
--------------------------------------------------------------

DefaultDocFooter=后面一般都是跟一個本地的文件,木馬病毒就在這里了,把這段刪除即可。

特別提示:MetaBase.xml無法直接修改,需要停止IIS服務才能修改,或者在IIS管理器中右擊本地計算機--選擇屬性,勾選"允許直接編輯配置數據庫",這樣就可以在不停止IIS的情況下編輯metabase.xml文件。

 

第三種方法:檢查ISAPI篩選器
目前這些DLL加載的文件,任何一款殺毒軟件和殺木馬軟件還不能有效發現并殺掉。方法:打開IIS,右鍵點擊網站,屬性——找到ISAPI選項卡,檢查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL刪除,重啟IIS即可。


第四種方法:檢查global.asa木馬
先解釋一下這個代碼的作用:因為global.asa 文件是網站啟動的文件,當一個網站被用戶訪問的時候,會執行Application_Start代碼段的內容,當一個用戶第一次訪問時會執行Session_Start代碼段的內容,所以此段代碼的作用就是當訪問的時候自動下載獲取木馬內容,上面遇到的就是跳轉性作用的木馬代碼。global.asa木馬一樣平常不會影響網站的正常運行,黑客一樣平常行使global.asa木馬不是為了來破壞網站的運行,他們與網站黑鏈類似,一樣平常是對網站的搜索引擎收錄產生特別很是惡劣的影響。常體現為搜索引擎收錄大量莫名其妙的網站題目,而這些題目絕對不是本身網站發布的內容,點擊鏈接進入的依然是本網站的頁面,但題目不同,點擊百度快照發現百度提醒:“對不起,您所查看的網頁不許可百度保存其快照,您可以直接訪問某某網址”,這說明你的網站已經中招了!它的直接后果是網站在搜索引擎的排名降落或者徹底消散,緊張的還會讓訪問者在訪問你的網站的時候電腦中毒!

global.asa這個文件一般是在根目錄下的,屬于系統文件只能在cmd命令下強制刪除。如果自己不會刪除的話可以找自己的空間商給你刪除這個木馬。

 

軟件防范:
360ARP:下載地址://dl.360.cn/360AntiArp.exe
D盾:下載地址://d99net.net/


這條幫助是否解決了您的問題? 已解決 未解決

提交成功!非常感謝您的反饋,我們會繼續努力做到更好! 很抱歉未能解決您的疑問。我們已收到您的反饋意見,同時會及時作出反饋處理!

在線
客服

在線客服服務時間:8:30-18:30

售后支持

客服
熱線

4008-650-660
7*24小時客服服務熱線

足球指数比较
關注官方微信
頂部
{ganrao} 广西麻将南宁的玩法 紫幻河南麻将出牌技巧 欢乐真人麻将官方版 姚记棋牌是假的吗 大连棋牌娱乐网 北京赛车pk10投注平台 e球彩3场全包24元 免费三肖必中特 天天捕鸟破解版下载 疯狂猎鸟内购破解版 推倒胡麻将技巧顺口 850游戏控制id 九游棋牌下载安装 杀一波公式 免费捉鸡麻将游戏下载 金牌棋牌游戏?