点评各款校园帐号登录工具
西南大学视频服务系统后台
Nov
27
樟树林论坛曾经发现网站程序代码顶部被插入木马代码,这是一个月前的事了,我当时还发的有个帖子:“樟树林论坛真的被挂了木马!!!”:http://bbs.swnu.edu.cn/show.php?area=141&aid=487,本来事后两天,木马代码就已清除,我也没在意这事了,但最近两天,老有网友又把这个老帖子给重新顶起来,我回帖说把这帖子锁了吧都这么久的事了,现在好像帖子没锁但已被屏蔽了(这时旁边扔来一臭鸡蛋,你唐僧啊,赶快说正事~~~)
当时我发帖时也没思考全面,单纯的认为这个木马是人为挂上去的,但现在想来,发现是大错而特错,樟树林很可能根本就未被挂过马,我们仅从表面上看,当时樟树林除网页代码中多了段,以及访问速度变慢以外,论坛其他地方没有任何被入侵的迹象,并且BBSForce系统自己号称是经过黑客千锤百炼过的,在安全性上已相当地完善(但在功能上就不敢恭维了),想通过入侵服务器挂木马并非易事,所以我们可以排除入侵更改这种可能。
那么问题究竟出在什么地方呢?其实罪魁祸首就是我们再熟悉不过的ARP攻击了(这时有人要说了,当时我就是这么认为滴~~~),由于论坛事后好像没有解释为什么有木马,所以后面的全是我个人假想分析的,如有不当之处,欢迎指正。
ARP攻击,从大一到现在,一直十分猖狂,从未销声匿迹过,所以内网外网都有很多介绍ARP攻击原理以及如何防护ARP攻击的文章和软件,这里我就不再累述,有兴趣的可以去查阅相关资料。我们知道,ARP攻击会导致我们连不上网,但它怎么会使樟树林论坛曾经一段时间出现被插入木马代码的呢?对于这个“挂马”原理,我认为可能有两种情况,为了后面叙述方便,我这里先假设有三台电脑,A为樟树林论坛服务器,B为服务器所在IP段的另一台主机(樟树林论坛服务器IP为:202.202.96.22,所以这个IP段为202.202.96.1-202.202.96.255),C为我们用的客户端电脑。
第一种情况,就是B(可能就是那个路由)中了ARP病毒,本来我们正常访问情况该是C---->A和A---->C,但由于B感染了ARP病毒,病毒伪装网关IP-MAC信息,它就使我们的访问路径变为C---->B---->A和A---->B---->C,也就是说B在这里做了一次代理的作用,当我们用户C发HTTP请求过去后,B判断下是哪个客户端发过来的包,转发给服务器A,然后服务器A返回HTTP响应的时候,中途被B在HTTP响应包中插入一段挂马的代码,再将修改过的包返回给我们用户C,所以我们电脑就发现网页上有木马。这种情况中,樟树林论坛本来是完全正常的,网页源代码没有问题,但是在传输中经过假路由时网页被加入了恶意代码,所以解决办法就是跟踪排查ARP攻击的来源(即电脑B),再隔离,杀毒,安上ARP防火墙。
第二种情况,就是樟树林论坛服务器本身就中了招,有可能是某用户上传了带有ARP病毒的附件,这个就只有服务器杀毒,以及清除每个文件头部的代码了。(说到这里我就想起了去年轰动一时的黑客“朽木”入侵腾讯服务器一事,当时有个同学叫“风吹过PP好冷”,他在腾迅论坛发了个挂马的贴子,骗了腾迅的一个SB工作人员点,然后那台电脑就中木马,风吹过PP好冷同学想继续渗透进主服务器,但一个人实力有限搞不定,于是叫上了朽木和另外几个朋友一起帮忙,后来朽木成功渗透进去,当然就出名了,但也只有他被抓了~~~糟了,又跑题了,真不好意思~~~)
从以上我们可以看出樟树林挂马的原理,有的人就是利用这种arp欺骗来直接挂马的
附:怀疑樟树林论坛被挂了马? 2007.10.12
一开樟树林论坛,或者在论坛中随便翻一页或刷新,傲游都会出现:http://520sb.cn/ad/image/1.js 这个网址被过滤的消息
*.js是一种典型的网页木马,但这个是不是木马,我不敢确定,因为我的毒霸没报毒。
浏览学校或其他外网的网页时,却没有这个提示(这就排出了是我的电脑中ARP攻击的可能)
所以,我怀疑樟树林论坛被人挂了马,只要一进论坛,自动链接一个外网的木马,但如果没连外网,就应该没事。
乱世狂人 2007.11.27
首发地址:http://bbs.swnu.edu.cn/show.php?area=141&aid=675
当时我发帖时也没思考全面,单纯的认为这个木马是人为挂上去的,但现在想来,发现是大错而特错,樟树林很可能根本就未被挂过马,我们仅从表面上看,当时樟树林除网页代码中多了段,以及访问速度变慢以外,论坛其他地方没有任何被入侵的迹象,并且BBSForce系统自己号称是经过黑客千锤百炼过的,在安全性上已相当地完善(但在功能上就不敢恭维了),想通过入侵服务器挂木马并非易事,所以我们可以排除入侵更改这种可能。
那么问题究竟出在什么地方呢?其实罪魁祸首就是我们再熟悉不过的ARP攻击了(这时有人要说了,当时我就是这么认为滴~~~),由于论坛事后好像没有解释为什么有木马,所以后面的全是我个人假想分析的,如有不当之处,欢迎指正。
ARP攻击,从大一到现在,一直十分猖狂,从未销声匿迹过,所以内网外网都有很多介绍ARP攻击原理以及如何防护ARP攻击的文章和软件,这里我就不再累述,有兴趣的可以去查阅相关资料。我们知道,ARP攻击会导致我们连不上网,但它怎么会使樟树林论坛曾经一段时间出现被插入木马代码的呢?对于这个“挂马”原理,我认为可能有两种情况,为了后面叙述方便,我这里先假设有三台电脑,A为樟树林论坛服务器,B为服务器所在IP段的另一台主机(樟树林论坛服务器IP为:202.202.96.22,所以这个IP段为202.202.96.1-202.202.96.255),C为我们用的客户端电脑。
第一种情况,就是B(可能就是那个路由)中了ARP病毒,本来我们正常访问情况该是C---->A和A---->C,但由于B感染了ARP病毒,病毒伪装网关IP-MAC信息,它就使我们的访问路径变为C---->B---->A和A---->B---->C,也就是说B在这里做了一次代理的作用,当我们用户C发HTTP请求过去后,B判断下是哪个客户端发过来的包,转发给服务器A,然后服务器A返回HTTP响应的时候,中途被B在HTTP响应包中插入一段挂马的代码,再将修改过的包返回给我们用户C,所以我们电脑就发现网页上有木马。这种情况中,樟树林论坛本来是完全正常的,网页源代码没有问题,但是在传输中经过假路由时网页被加入了恶意代码,所以解决办法就是跟踪排查ARP攻击的来源(即电脑B),再隔离,杀毒,安上ARP防火墙。
第二种情况,就是樟树林论坛服务器本身就中了招,有可能是某用户上传了带有ARP病毒的附件,这个就只有服务器杀毒,以及清除每个文件头部的代码了。(说到这里我就想起了去年轰动一时的黑客“朽木”入侵腾讯服务器一事,当时有个同学叫“风吹过PP好冷”,他在腾迅论坛发了个挂马的贴子,骗了腾迅的一个SB工作人员点,然后那台电脑就中木马,风吹过PP好冷同学想继续渗透进主服务器,但一个人实力有限搞不定,于是叫上了朽木和另外几个朋友一起帮忙,后来朽木成功渗透进去,当然就出名了,但也只有他被抓了~~~糟了,又跑题了,真不好意思~~~)
从以上我们可以看出樟树林挂马的原理,有的人就是利用这种arp欺骗来直接挂马的
附:怀疑樟树林论坛被挂了马? 2007.10.12
一开樟树林论坛,或者在论坛中随便翻一页或刷新,傲游都会出现:http://520sb.cn/ad/image/1.js 这个网址被过滤的消息
*.js是一种典型的网页木马,但这个是不是木马,我不敢确定,因为我的毒霸没报毒。
浏览学校或其他外网的网页时,却没有这个提示(这就排出了是我的电脑中ARP攻击的可能)
所以,我怀疑樟树林论坛被人挂了马,只要一进论坛,自动链接一个外网的木马,但如果没连外网,就应该没事。
乱世狂人 2007.11.27
首发地址:http://bbs.swnu.edu.cn/show.php?area=141&aid=675
作者:乱世狂人@乱世狂人blog
地址:http://www.tangyr.cn/read.php/24.htm
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
