今天发现了页面打开后是最上面有条js木马,我以为是网页代码给人写入了,去看一下代码切没有这条代码,
查到最后才知道是服务器中了毒了,
问题已经找到,是同一个网段的网关机中了 ARP 病毒,导致所有网段内的服务器站点被挂马
ARP挂马病毒的症状为,同一个望段内所有服务器上站点的所有页面(不管是首页还是其他页面)都有病毒代码存在,但是通过记事本打开页面文件又没有那句代码。
处理方法,首先停止服务器上的一切网络活动,然后用ARP专杀工具检测自己服务器是否安全,安装微软kb925902-x86-chs.exe补丁,然后安装ARP防火墙,启用防护。从新启动计算机。一切OK
ARP防火墙启动后会提示某IP主机正在进行ARP欺骗攻击,如果没有这样的提示,那么就是另一个方式ISAPI挂的马,这样的情况处理方法是,首先打开IIS管理器,然后点根网站,选择属性,然后在选择 ISAPI 筛选器、看看晒选器内是否有可以的DLL文件存在,如果是有请直接删除。
删除后请检测服务器上的漏洞,尤其是ASP有上传功能的程序,在程序所指定的上传目录设置用户权限,通常只给 只读 权限,服务器站点的目录也要设置相应的权限,避免被入侵
