昨天网站突然瘫痪,所有页面都变成了乱码
再看看服务器上的其他网站,整个服务器的所有站点,包括这个blog,都在最前面加了一段 iframe 代码,加在了 <html> 标签的前面,src 是 xxx.wofala.com/******** ,里面多层嵌套,木马若干:(
顿时大汗,莫非服务器被攻陷了? 不应该呀。
上服务器看看,这个慢呀,和蜗牛一样。
没有发现除我意外的登录记录,最近几天也没有文件修改记录,用工具扫描也未发现木马
按时间查一下系统目录的文件修改情况,也没有异常,这个奇怪呀!
上网查资料吧,google一下,说这种情况一般是被人加了 isapi ,可我服务器上没有
想想能对整站加代码的除了 isapi 还有什么呢?我想到了http压缩,难道压缩的地方被人篡改了?
我把 http压缩停掉,果然网站不是乱码了,正常显示了,但是前面多了iframe代码
显而易见,这是在压缩之后前面又被加了代码,造成浏览器解压缩时失败,所以显示了乱码
这么看iis服务器应该是没什么问题的。
找不到原因,顿时有杀到机房重装系统的冲动!
突然想到之前搜索时看到的一个帖子,有人和我一样被全站挂了代码,网上求助
一个兄弟回帖,说有可能是 arp 攻击,好几个兄弟回帖笑话这个说是 arp攻击的,说arp怎么能修改代码呢,我当时也是一笑,觉得不太可能。 后来有人回帖说是 isapi的问题,果然那个兄弟是被人入侵了,删掉了多余的isapi就没问题了。 所以大家都没有多考虑arp的问题。
莫非arp真的能挂代码? 我又一搜,果然,arp不光能对mac地址进行欺诈,同样也可以过滤数据包,篡改数据包!
赶紧装了个 arp 的防御工具,一切正常了!
接下来绑定漏油mac地址,打电话找机房举报等等不提。。。
事情过后,大为感叹,网络险恶呀!
也奉劝各位朋友遇到问题一定戒骄戒躁,细心寻找问题,避免走弯路。