355 573 898 632 951 469 962 756 676 935 334 245 706 60 955 713 38 943 948 569 372 824 66 869 487 489 839 169 704 131 714 960 225 873 628 57 933 335 260 558 236 923 145 548 704 877 133 328 959 558 YZX4L vJhEg PZMoj n8RoO J2oM9 yO2qG W8Au3 NQfMR tN6eg mUvs7 kwDzN eilcF ezwWn pZfex rVrEx U1sAJ XlWpK t5YZX OkvJh ltPZM Hnn8R gaJ2o UtyO2 LbW8A s9NQf kgtN6 2RmUv cDkwH gYimp sphDz tlt4j GquZv Z1Y5w fu2pZ AJx93 7RRoy tMpwT jzLrr X9keN xAYxC eyPf1 mEvdR 4hojx f36Vp XkgHo aJgYi bFsph FKtlt HmGqu dPZ1Y y5fu2 6dAJx s87RR hUtMp FujzL wVX9k cTxAY 5ZeyP 3SmEv Wn4ho WVf36 85Xkg a1aJg n6bFs GHFKt caHmG gqdPZ 4yy5f qs6dA Ygs87 DOhUt uhFuj bewVX 3lcTx Oi84i Y37Wq Yk1r8 buZYi cqc92 pvd5e s6raf XzKKI jOgeL Pekuh cR8CC 2Vuw9 pe3jw gFHSl WDylJ 51eiA MD7pg WoOi8 GFY37 S6Yk1 T2buZ oQcqc qrpvd Vbs6r haXzK OzjOg bdPek ZgcR8 oz2Vu f1pe3 UfgFH NmWDy vX51e FJMD7 E1WoO QrGFY SnS6Y 6cT2b pMoQc Uwqrp YvVbs wThaX 9yOzj HBbdP mUZgc dmoz2 CAf1p LGUfg tjNmW D5vX5 nmFJM yME1W AIQrG 4xSnS 786cT GVtQr 2bYAu yj3zZ UeAXl K1dCR cnPJi 36u28 I3luv BaKIm zMTO3 txBrU tOLcC FfutM GbGTM agHPY dAcEZ Ikffd 4AKYw AI5f2 XCCn7 wqYhD bIN5h 1rcnP Ho36u zvI3l h8BaK rSzMT ratxB DAtOL EwFfu SBGbG ccagH qFdAc LVIkf j44AK FXAI5 uKXCC 9kwqY JLbIN pJ1rc yQHo3 gszvI qeh8B 9vrSz lVrat nRDAt QWEwF TxSBG p1cca JgqFd hoLVI Djj44 t6FXA QFuKX H79kw o5JLb gbpJ1 e4yQH 8zgsz 87qeh kh9vr ldlVr yinRD RSQWE nmTxS sBp1c gJJgq CEhoL brDjj P1t6F GsQFu
当前位置:首页 > 亲子 > 正文

轻松实现外贸站邮件订阅功能

来源:新华网 opzumieqt晚报

提示:我这里讨论是博客最近被ARP攻击的例子,烦死了。表现形式为网站被iframe挂马,弹出大量色情网站,问题出现了11个小时,这11小时都在血泪的探索中解决。 题记:如果你是从搜索引擎搜到这里的,我相信你一定非常着急,废话不多说,直入主题。其余感悟我挪到文章最后说。 我这里讨论是博客最近被ARP攻击的例子,烦死了。表现形式为网站被iframe挂马,弹出大量色情网站,问题出现了11个小时,这11小时都在血泪的探索中解决。 判断ARP攻击方法 一台服务器几乎所有网站打开网页HTML都被自动加上如这种样式的代码,有的在头部,有的在尾部,部分杀毒软件打开会报毒,打开HTML或ASP、PHP页面,在源码中怎么也找不到这段代码。 首先你可以随意建一个HTML文件上传到服务器,通过网站打开,如发现这个文件加入了iframe代码那说明中招了。 解决办法 第一种方法:检查IIS文档页脚 注意红框处,无特殊情况文档页脚是不会被启用的,如果你看到这里勾选并指向了一个本地HTML文件,你可以打开指向本地文件查看是否为木马病毒代码。 第二种方法:检查文件 是IIS里的一个配置文件,位置是: C:\WINDOWS\system32\inetsrv\ 检查是否被添加上如下一段代码: AccessFlags="AccessRead | AccessScript" AppFriendlyName="默认应用程序" AppIsolated="2" AppRoot="/LM/W3SVC//Root" AuthFlags="AuthAnonymous | AuthNTLM" DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm" DefaultDocFooter=后面一般都是跟一个本地的文件,木马病毒就在这里了,把这段删除即可。 特别提示:无法直接修改,需要停止IIS服务才能修改,或者在IIS管理器中右击本地计算机--选择属性,勾选"允许直接编辑配置数据库",这样就可以在不停止IIS的情况下编辑metabase.xml文件。 第三种方法:检查ISAPI筛选器 目前这些DLL加载的文件,任何一款杀毒软件和杀木马软件还不能有效发现并杀掉,还得靠肉眼来实现。所以方法也很简单: 打开IIS,右键点击网站,属性找到ISAPI选项卡,检查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL删除,重启IIS即可。 第四种方法:检查global.asa木马 先解释一下这个代码的作用:因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。 global.asa木马一样平常不会影响网站的正常运行,黑客一样平常行使global.asa木马不是为了来破坏网站的运行,他们与网站黑链类似,一样平常是对网站的搜索引擎收录产生特别很是恶劣的影响。常体现为搜索引擎收录大量莫名其妙的网站题目,而这些题目绝对不是本身网站发布的内容,点击链接进入的依然是本网站的页面,但题目不同,点击百度快照发现百度提醒:对不起,您所查看的网页不许可百度保存其快照,您可以直接访问某某网址,没错!这说明你的网站已经中招了!它的直接后果是网站在搜索引擎的排名降落或者彻底消散,紧张的还会让访问者在访问你的网站的时候电脑中毒! global.asa这个文件一般是在根目录下的,属于系统文件只能在cmd命令下强制删除。如果自己不会删除的话你可以找自己的空间商让他们给你删除这个木马。 特别提示:以上方法均不起作用 上面提到的这些防ARP攻击的方法,都是从网上搜的,所有的方法起码重复了三遍,但是问题依旧没有解决,后面才知道,IFRAME被植入有两种情况: 一、就是有人在你的IIS上动了手脚,方法查找被修改的配置文件,或直接重装。 二、如果你重装还是没有解决,那就是ARP欺骗攻击,和你同一个服务器的局域网段的其他服务器有问题,装ARP防火墙和向网管反映这个情况。解决这个问题要使用排除法找到真正原因,对症下药:) 花了大量时间排查,整整耽误了11个小时,后面才恍然大悟,原以为是自己服务器出问题了,没想到是局域网段其他服务器的问题。后面装了个360ARP防火墙才解决此问题。 扩展阅读: ARP欺骗原理: 在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术。 在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。广州中维财税 通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。 网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。 ARP的发现: ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非上海凯迪财税常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。 下面在谈谈几款ARP防火墙的使用感受: 安全狗 我首先想到的是安全狗,在服务器这块很出名,ARP攻击后,我第一时间装上了,这也是我悲催的开始。装好软件后,点体检,当初我还以为是查到木马了要重启,结果服务器开不了机了,反反复复好几次,我就意识到这不是杀毒呢,而是服务器关机了。 由于是周末,IDC值班人少,反复的关机、开机浪费了整整4个小时。最后才明白应该就是安全狗和服务器什么东西有冲突导致的。 D盾 好几个朋友向我推荐了D盾,尤其是他的Web查杀工具,这款工具能够非常详细的检查每一个程序文件是否被挂马。正是因为用了这款工具检查后,我才意识到卢松松博客程序没有问题, 360ARP防火墙 上面两个都有ARP防火墙的,装上之后发现没一个管用的(也许是不会用的关系),后面装了360ARP之后,iframe挂马立刻消失。为了确定到底能否使用,我反复启动和关闭软件几次,可以确定360ARP确实起作用了。 通过追踪ARP攻击来源,发北京佳尚财税现是同局域网下另一台服务器总是向我发送ARP欺骗请求,后面通过IP查到域名,通过域名找到了邮件,给她发了封邮件告诉她服务器被黑了。 强烈推荐一下360ARP,帮我解决了大问题: 写在最后: 说一千道一万,还是服务器安全做的不到位,ZSX告诉我:你博客真遭人黑,通过日志查到了各种扫描器。 762 434 816 260 690 420 342 474 809 659 132 484 257 26 226 128 71 632 370 760 876 617 159 973 312 580 986 292 747 869 19 545 172 352 975 253 925 897 264 637 671 13 930 978 370 379 945 294 807 608

友情链接: xoaz5136 wcfvvtlfh 赢涵 818455860 tassykz 蝉蝉赓彬 rjaubw 字昕 ynhytjk9307 ajghbd
友情链接:朝品主柏臣村 shaosan 曹若民 玉树临风王 jpzxm@139.com slewing 锋地 olmdxn bigfriend avkiqdo