今天中午,查看学校网页发现出现脚本错误,并且整个IE占用CPU 资源过高,随即想到网站被攻击挂马,因为急着要上课(公开课)所以也就没有急着去解决,等会上完课后,具体看下。
忙了一下午,晚上吃了晚饭上网,发现baidu.com也“挂马”了 ,心想不会吧,随机打开几个大站点,也同样出现问题,所有的网站首页都被写上了4h4.us/1.js这个代码,不会是自己的电脑中毒了吧,随机打开另外一台电脑,也发现同样的问题,排除本地电脑中毒,难道是ARP劫持了,,,所以的数据被处理,然后再转给服务器 网关,打开OmniPeek进行扫描,发现大量的00:04:61:96:FA:EE,随机打开网关服务器Router OS --ARP 查看路由表 发现所有的IP对应的Mac都被劫持了,全部对应00:04:61:96:FA:EE,问题一下子明了了,随机找出校园网的IP-Mac表,进行对照,发现是192.168.0.11IP的MAC,病毒源找到了,因为这个IP是校长的,所以,又进行了再次确认 运行 nbtstat -a 192.168.0.11 再次确认。
然后就直接去校长室通知杀毒和处理。问题解决!
记录。。 碰到同样的问题,可以参照下。。
如果一时半会找不出病毒源,你可以运行arp -a 查看本地电脑的路由表,看看是否有重复MAC 对应IP,如果有运行arp -d 进行清楚,或者直接在本地,运行arp 进行IP -Mac临时绑定
ARP -s inet_addr eth_addr [if_a
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
当然这个不能从根本解决问题,建议大家在网络分配时,选择静态IP 对好进行IP-Mac捆绑。
