最近这种劫持很流行啊,我们网段也没能逃过。昨天开始发现本服务器上一些网站出现病毒代码,页面中出现<iframe 的一段恶意代码,吓坏我了。服务器中毒重装可不是小事,经过分析,认为这是一种会话劫持。
这是一种非常恶毒的方法。
病毒简介
这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入挂马的代码。
技术细节
1、ARP欺骗
病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(Address Resolution Protocol)数据包,挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机。
2、修改特定数据包
病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码,使用户看到的网页最前面被插入以上代码,该网页会利用IE漏洞下载并运行木马程序,建议用户及时补上计算机上已知的漏洞。
大家 在访问网站时出现这种情况要注意哦。推荐McAFee杀毒软件,再弹出挂马页面时能有效拦截。实际测试,某些国内的杀毒软件根本不拦截。也可以使用 Firefox减少中招机会,ff的更新很蛮快,而且一个木马页面又要符合IE又要符合FF的比较少,并不是说FF就非常安全一点漏洞也没有,只是中的几 率要比IE少些。
大家 在访问网站时出现这种情况要注意哦。推荐McAFee杀毒软件,再弹出挂马页面时能有效拦截。实际测试,某些国内的杀毒软件根本不拦截。也可以使用 Firefox减少中招机会,ff的更新很蛮快,而且一个木马页面又要符合IE又要符合FF的比较少,并不是说FF就非常安全一点漏洞也没有,只是中的几 率要比IE少些。
最后查了一个对于服务器的解决方案
一般处理办法分三个步骤来完成。
1、激活防止ARP病毒攻击
进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。
2、对每台pc上绑定网关的IP和其MAC地址
在每台PC机上进入dos操作,输入arp –s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),Enter后完成每台PC机的绑定。
针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:
@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC
3、在路由器端绑定用户IP/MAC地址
在DHCP功能中对IP/MAC进行绑定,Qno路由器提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表,我们可以通过“√”选的功能选择绑定IP/MAC。
我用了第2种,直接绑定了网关IP和MAC地址,效果不错。
