网站源文件被注入了代码—ARP欺骗的木马病毒攻击

      最近我的网站突然出现访问的迟钝，并且打开之后杀毒软件立即提示含有木马病毒。

　　我就很纳闷，运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看，原来在网页源代码的头部被加入了<iframe>嵌套框架网页，该网页执行木马程序……

　　按照常理我心中一寒：估计是服务器被人攻陷了，所有文件代码被加了此行代码，于是FTP上去，下载文件下来查看却没有该代码。

　　于是询问服务器管理员含笑，他一听就说："是中ARP欺骗的病毒攻击了"。

　　那么什么是"ARP欺骗"呢？

　　首先，ARP的意思是Address Resolution Protocol（地址解析协议），它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

　　从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

　　第一种ARP欺骗的原理是--截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

　　第二种ARP欺骗的原理是--伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，"网络掉线了"。

　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

　　而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马，所以就影响了整个机房的其他服务器，于是服务器中成千上万的虚拟主机网站就全部遭殃了，木马种植者站点访问量也是猛增，这还是小事，该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

　　如何检查本机是否中了ARP欺骗木马病毒

　　"CTRL"+"ALT"+"DELETE"键打开"Windows任务管理器"窗口，查看有没有"MIR0.dat"的进程，如果有，表示中毒了，需要立即"结束该进程"。

　　如何检查局域网内感染ARP欺骗木马病毒的计算机

　　"开始"菜单"运行""cmd"打开MSDOS窗口，输入"ipconfig"获得"Default Gateway"默认网关。

　　继续执行命令"arp -a"，查看默认网关IP对应的"Physical Address"值，在网络正常时这就是网关的正确物理地址，在网络受" ARP 欺骗"木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址，然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同，那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

　　如何防范计算机遭受ARP欺骗

　　1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

　　2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

　　5、使用"proxy"代理ip的传输。

　　6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

　　7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

　　8、管理员定期轮询，检查主机上的ARP缓存。

　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

 

备注：

针对arp攻击，本人解决方法是：在服务器上，安装360，360自带arp防护功能。

安装启用后，网站马上运行正常。

 

打开360，7.0版本选中”实时保护“，7.1版本选中”木马防火墙”，查看arp的日志，会发现arp攻击的日志，如下图。

 

 

如果有好的arp防护软件，希望大家推荐下。