昨天网站突然瘫痪, 所有页面都变成了乱码
再看看服务器上的其他网站, 整个服务器的所有站点, 包括这个blog, 都在最前面加了一段 iframe 代码, 加在了 <html> 标签的前面, src 是 xxx.wofala.com/******** , 里面多层嵌套, 木马若干:(
顿时大汗, 莫非服务器被攻陷了? 不应该呀。
上服务器看看, 这个慢呀, 和蜗牛一样。
没有发现除我意外的登录记录, 最近几天也没有文件修改记录, 用工具扫描也未发现木马
按时间查一下系统目录的文件修改情况, 也没有异常, 这个奇怪呀!
上网查资料吧, google一下, 说这种情况一般是被人加了 isapi , 可我服务器上没有
想想能对整站加代码的除了 isapi 还有什么呢?我想到了http压缩, 难道压缩的地方被人篡改了?
我把 http压缩停掉, 果然网站不是乱码了, 正常显示了, 但是前面多了iframe代码
显而易见, 这是在压缩之后前面又被加了代码, 造成浏览器解压缩时失败, 所以显示了乱码
这么看iis服务器应该是没什么问题的。
找不到原因, 顿时有杀到机房重装系统的冲动!
突然想到之前搜索时看到的一个帖子, 有人和我一样被全站挂了代码, 网上求助
一个兄弟回帖, 说有可能是 arp 攻击, 好几个兄弟回帖笑话这个说是 arp攻击的, 说arp怎么能修改代码呢, 我当时也是一笑, 觉得不太可能。 后来有人回帖说是 isapi的问题, 果然那个兄弟是被人入侵了, 删掉了多余的isapi就没问题了。 所以大家都没有多考虑arp的问题。
莫非arp真的能挂代码? 我又一搜, 果然, arp不光能对mac地址进行欺诈, 同样也可以过滤数据包, 篡改数据包!
赶紧装了个 arp 的防御工具, 一切正常了!
接下来绑定漏油mac地址, 打电话找机房举报等等不提。 。 。
事情过后, 大为感叹, 网络险恶呀!
也奉劝各位朋友遇到问题一定戒骄戒躁, 细心寻找问题, 避免走弯路。
……