骏景花园业主论坛

标题: 论坛挂马问题 [打印本页]

作者: admin 时间: 2010-6-22 13:46
标题: 论坛挂马问题
首先这是个事实，可能对大家的电脑造成不良影响，甚至造成损失，非常抱歉。
但此次事故不是论坛服务器自身的问题，详情可以参考此文。
论坛服务器自身是安全的，并无被入侵的痕迹，各种文件没有被篡改，数据库也安全。
我对机房处理这个事情的态度，感到很失望，他们不但没查出问题所在，还一味推卸责任，始终只是认为是我们服务器自身问题。
而这半年来，已经出现过三次相同的问题，每次都是不了了之。
我今天研究了下arp欺骗攻击的处理方法，临时在本机写了一批静态的ip和mac对应表，从我检查的情况来看，应该暂时解决了这个问题。
不过google今天发来邮件提醒网站带有恶意程序，把论坛评估为恶意网站，所以firefox浏览器暂时无法打开骏景论坛了，360浏览器可能也会对论坛做出报警，
这几天应该是无法恢复论坛的形象了，以上，是对挂马事件的一个陈述。

ARP欺骗原理：
　　在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造MAC地址实现ARP欺骗的攻击技术。
　　在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为，PC和另一台设备通讯，PC会先寻找对方的IP地址，然后在通过ARP表（ARP表里面有所以可以通讯IP和IP所对应的MAC地址）调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址，而不是IP地址。
　　网内的任何一台机器都可以轻松的发送ARP广播，来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项，记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件，就可以在局域网内进行ARP欺骗攻击了。

作者: 走火入魔 时间: 2010-6-22 13:56
维护个论坛真费劲。

作者: 走火入魔 时间: 2010-6-22 13:56
维护个论坛真费劲。[M29]

作者: 风清云淡 时间: 2010-6-22 14:11
只要没真的挂马就行

作者: 洒水车 时间: 2010-6-22 15:58
真是杯具哦。

作者: 安安娘 时间: 2010-6-22 16:10
为什么会找上我们论坛的呢？

作者: 安安娘 时间: 2010-6-22 16:11
“有一个叫antiarp的商用软件功能还是比较丰富的，软件价格是每台服务器199元。在服务器上安装这个软件之后，除了可以自动预防ARP攻击之外，还可以使用这个ARP防火墙软件查找出ARP攻击者的IP地址。知道了攻击者的IP地址后，大家就可以将其截图后发给IDC机房，要求机房关闭那台ARP服务器，通常情况下机房会关闭病毒服务器，如果机房不关闭服务器，那就去公安局报案，指控电信机房散布病毒。”

--这个

作者: 走火入魔 时间: 2010-6-22 16:41

为什么会找上我们论坛的呢？
安安娘发表于 2010-6-22 16:10

多半是整个机房，而不是我们论坛。

作者: 走火入魔 时间: 2010-6-22 16:43

“有一个叫antiarp的商用软件功能还是比较丰富的，软件价格是每台服务器199元。在服务器上安装这个软件之后 ...
安安娘发表于 2010-6-22 16:11

知道对方的IP、mac本来就是一个命令的事情。

作者: L66 时间: 2010-6-22 16:54
admin辛苦啦！[M29]

作者: 骏景足球 时间: 2010-6-22 17:16
又得耗费ADMIN的业余时间了...辛苦了[M36]

作者: 艾琳 时间: 2010-6-22 18:20
今天一上论坛360就提示挂马，好担心！
360最终查杀了一个木马。

作者: googol 时间: 2010-6-22 18:43
现在用Firefox上论坛真麻烦。。

作者: yukee 时间: 2010-6-23 10:41
我是直接把360关了.要用的时候再打开.所以还好.

作者: 星星闪 时间: 2010-6-23 10:47
发不了表情

作者: 星星闪 时间: 2010-6-23 10:47
是不是跟这个有关

欢迎光临骏景花园业主论坛 (http://forum.junjing.net/forum/forum.php/static/image/common/static/js/static/image/common/)