局域网染毒,被ARP挂马

昨天转移BLOG数据的时候,大约下午三点多,遇到的这个问题:不管是访问服务器上的任何网页,就连404的页面杀毒软件也会报警,查看网页源代码后发现被加入<iframe height=”1″ width=”1″ frameBorder=”0″ src=”http://xxx.xxx.com/xxx.htm” mce_src=”http://xxx.xxx.com/xxx.htm”></iframe>这样的恶意代码(我已经使用xxx替换掉了真实地址),挂马的位置在html标记左右,上面这段。开始的时候以为FTP密码泄漏了,跟china.cos说,可是检查服务器上的文件发现不是网页源代码问题,也没有在网页源代码中加入恶意代码。

后来在他的提醒下才知道是被ARP挂马(它会每隔几秒加入代码,也就是说在输出具体的东西之前就被挂了,有时有有时又没有),随即检查了本地网络,因为强大的卡巴的缘故,我的电脑一切正常,通过GOOGLE的帮助,下载了AntiARP4阻挡来自其它计算机的攻击并且追踪到了局域网内的攻击源。通过与攻击源电脑使用者的联系,原来对方也知道中了病毒正在杀毒。ARP木马这东西太万恶了,中招的电脑还会害己害人。由于局域网上还有其他没有防范的电脑上也可能染有该病毒,无奈之下只能先用防火墙挡住几天。

下面说一下原理:arp中间人攻击,实际上相当于做了一次代理。

正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A—->C—->B
B—->C—->A
实际上,C在这里做了一次代理的作用

那 么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如<iframe></iframe>

更多阅读:
什么是ARP?如何防范ARP欺骗?
ARP攻击解决办法
arp挂马原理剖析

部分资料来源于GOOGLE(因为已经不知道最初的出处了)

《局域网染毒,被ARP挂马》有1个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注