欢迎光临
我们一直在努力

arp 攻击原理及挂马分析专题

ARP攻防对抗http://www.77169.com/AD/NewSpecial/Arp.html

博客被黑实录
http://www.anqn.com     时间:2007-7-27 1:00:53      责任编辑:池天      网友评论0条
热 点:

作者:hackest 十六进制信息安全小组官方讨论组:http://www.hackm.com/ 博客:http://www.hackest.cn

昨天晚上在写完《何去何从》那篇东西的时候突然发现我的博客页面出现异常,症状就是页面内容靠左了,正常的话就是在中间的。问了问朋友也觉得不正常了,习惯性地打开博客主页的源文件。不看还行,一看差点没吓晕过去!源码中第一句便是一个插iframe框架的代码!!!晕了,博客居然被人挂马了。这套程序虽然写得不怎么好,不过后台已经做了些改动,就算进了我的后台也是没那么容易得到webshell的。文件编辑功能去掉的了,自定义上传文件类型也去掉了,其他基本上还有些文本编辑的功能了。被黑了虽然是十分的不爽,没开张几天就中标了,那还得了?!不过因为我没有FTP权限,不能上去看看到底发表了什么事,所以服务器上面只能等朋友解决了。我想我也不能干等嘛,就想去分析下那个马。这个马挺有意思的,不是普通的htm或者html后缀,居然是一个asp后缀的文件!这种马我倒还真是第一次见呢,直接打开页面显示空白。叫朋友帮忙看了看,居然说打开我的博客不报毒,直接打开那个马所在的文件就报毒了。郁闷,还有这种事的。后来又和朋友讨论了一下才知道最近兴起了这类asp的网页木马。虽然直接打开是看不到任何代码,不过却是可以用迅雷这类下载工具下载回本地再看的。不过下回本地后发现更有意思,里面的代码是倒着写的,比如EXE文件的下载地址就是这样的:exe.namnwod/segami/8050/swen/moc.iebug.www//:ptth。要不是认真看还真看不出来呢,看来马的作者果然有一手!

找到了EXE文件的下载地址当然就是去下载回来分析下了。下载目标地址的EXE文件后,大小13K。用PEID查了一下,加的是UPX的壳,直接用PEID自带的UPX脱壳机就脱掉了壳,脱壳后程序大小为48K。图标是MSN的图标,再用PEID看了一下,居然是什么也没有发现,看来还有别的保护。不管了,c32asm载入,查找关键字,没有发现下载地址信息,也没有上线信息等,确定应该不是下载者类。不过看到有不少@字符,初步估计是盗号类木马了。而且还发现很多和MSN相关的字符。由于自己的反汇编能力确实很有限,所以请出ASM大侠帮忙分析。没多久结果就出来了,是个盗MSN账号密码的,运行后会在c:windowssystem32目录下释放msnmsgr.exe文件。跳到系统目录下,不好意思,我中标了!果然发现有msnmsgr.exe这个文件,赶紧删除掉。不过这个文件没有一点难度就删掉了,还真是不太爽。问了问ASM,他说这个程序根本没执行到盗号那一步就执行自删除了,换句话说就是中了也等于没中,难怪这么轻易就T出硬盘了!这马白写了,唉,可怜的作者。自删除方式还是创建bat文件实现的呢,呵呵。还有插入线程等一些木马所具备的功能,不过目的都没实现就自行了断了就的确可惜了!至于放马的那个站,简单的看了看发现不容易拿下就没去理它了。这个网马还是MS07004、MS06090、QQEXP三个在一块来的呢,够厉害了!至此,关于这个马的分析就告一段落了。

不得不要提的就是,这个挂得很奇怪:我访问的所有页面都会被在同一位置插入那行iframe框架代码,包括后台管理页面。虽然说如果得到了webshell的话,要做到这一点并不难,来个批量挂马就OK了。不过我的博客才开没几天,又没有什么流量。那家伙为什么要黑我的呢?貌似没有什么动机。知道我开博客的人也不多,有能力黑了的更是屈指可数了。由此初步断定入侵者应该不是针对我而来的,要么是旁注的,发现有站就顺手挂上了;要么就是传说中ARP欺骗挂马大法了!说到ARP挂马这招我以前倒是没听说过的,虽然玩过ARP欺骗攻击,也曾经和朋友ARP弄过一个黑客站。但是ARP用来挂马还是头一回听说。信息来源是紫侠客提供的,他说最近在流行一种ARP欺骗挂马,说我博客的症状极有可能是ARP干的了!手上根本没有任何关于ARP挂马的资料,google了一会终于有结果了,原来是某个病毒的一种传播方式。毒是够毒的了,只要拿到同一网段下的其中一个服务器权限,就可以对目标进行挂马操作了,根本无需得到目标网站的任何权限,就可以把你的马挂到上面,够狠了吧!由于事发当晚朋友FTP连接不上去,具体原因无法查明,初步断定用的就是ARP挂马了。入侵者并不是有意针对我的,只是我的博客空间刚好在那个网段,人家一动手就中标了。还有就是我的windows居然不能更新了,手动更新的时候提示我的系统不理正版(本来就不是的啦)了,难怪N长时间没有自动更新了,原来MS认出我的系统是盗版的了,唉。看来得想个办法更新才行了。要不天天中马就不爽了,万一哪天一不小心中了个远程控制木马,那滋味可不爽啊!

这次博客被黑事件虽然不爽,但是也因此而同时接触到了不少新事物。后来就转移了空间,弄到安全的地方上去了,还叫朋友帮忙分析这套程序的代码,主要是想看看到底哪些地方不够安全,把危险指数降到最低才是最重要的嘛。期间还得麻烦我的朋友们了,博客访问不了,真的不好意思了哦。还有就是帮我分析木马、关心我的所有人和帮我转移了空间的朋友,我在这里向你们说一句:同志们,辛苦了!等我有几个亿身家的时候送你们几车钞票,哈哈……

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

饱受ARP攻击和挂马网页自动下载木马之苦的朋友们进来看
“木马猛于虎也”,这句话用在现在的网民(包括我这样的老菜鸟)身上真是再贴切不过了,经常发现有程序会自动下载病毒和木马程序,却无可奈何,或者经常遇到ARP攻击也束手无策。不过最近在浏览金山毒霸工作人员铁军的博客时候却有了可喜发现,好东西要分享给大家o(∩_∩)o…,请大家看下面的内容,有些长,但是绝对有效,看完了别忘了顶帖哦o(∩_∩)o
下面的内容是在金山毒霸的铁军的blog里面摘抄的,对ARP病毒攻击和Risk.exploit.ani病毒的处理给了很好的解决建议,我转载出来大家参考下:

最近用户咨询Risk.exploit.ani病毒的问题比较多,该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件, 被某些已经挂载木马的网页自动下载。当用户的浏览器打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,这时,毒霸的实时防毒和网页监控会进行报警,由于该文件被IE占用,所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理,用户即时没有安装相关漏洞补丁,只要启用毒霸监控,也不会中毒。并且,针对这些文件,毒霸还进行了延迟删除处理,在下次重启系统时,这些被锁定的文件会被自动,下载的畸形ANI文件将不起作用,也就不会通过ANI漏洞去下载真正的病毒木马了。
有两种情况,需要注意:
1.对于病毒本身而言,清除是简单的,关闭浏览器,然后清空IE临时文件夹,补丁编号MS07-017 KB912919,详细情况见http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx ,如果是本机感染病毒,可以根据日志提取样本。
2.局域网其他计算机感染病毒进行会话劫持攻击,最近的咨询也比较多,上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。某些病毒或者木马利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候都会提示存在该病毒。通俗点说,就是局域网某个计算机感染病毒或者木马,该病毒发送arp欺骗,然后在所有的网页访问的tcp数据中插入一段iframe代码,只要网内的计算机通过网关上网,所有的网页都会跳转到iframe制定的网页,该网页是存在畸形ANI文件,所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现,就像木马下载器和木马,其原理和功能有天壤之别。对于该类情况,也比较容易判断,如果是局域网用户,一般其他的电脑也存在该问题,而且是访问任意网站都会存在该提示。由于不是本机感染病毒,所有对该计算机进行杀毒,扫描提取样本可能都是无效的。用户需要找到的是发送arp欺骗,从而导致出现该现象的机器,这个需要网管抓包来分析,用户个人是无法完成的。当然无论如何,首要解决的是安装补丁。而对于第二种情况,也就是现在局域网中感染ARP 病毒的情况,由于此种现象目前非常普遍,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是处理这个病毒的一些参考方法,供大家参考:

ARP 病毒的症状:

有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。

ARP 攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。

处理办法:

通用的处理流程:

1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe s

**.**.**.**(网关ip) ****
**
**

**

**(

网关mac 地址)

end

让网络用户点击就可以了!

办法二:编辑一个注册表问题,键值如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"mac"="arp s

网关IP 地址网关Mac 地址"

然后保存成Reg 文件以后在每个客户端上点击导入注册表。

2 找到感染ARP 病毒的机器。

a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。

b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。

c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。

预防措施:

1,及时升级客户端的操作系统和应用程式补丁;

2,安装和更新杀毒软件。

4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。

5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意)

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
解决 网页 挂马 ARP病毒入侵网络
近些天,ARP病毒入侵网络,使大多网吧及家庭出现现象:掉线~~~~~~`

在这里我在网上到的相关资料,网络高手的研究一下~~

解决ARP攻击的方法

【故障原因】

局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。

【故障原理】

要了解故障原理,我们先来了解一下ARP协议。

在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。

主机 IP地址 MAC地址

A 192.168.16.1 aa-aa-aa-aa-aa-aa

B 192.168.16.2 bb-bb-bb-bb-bb-bb

C 192.168.16.3 cc-cc-cc-cc-cc-cc

D 192.168.16.4 dd-dd-dd-dd-dd-dd

我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。

D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。

【故障现象】

当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。

【HiPER用户快速发现ARP欺骗木马】

在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

【在局域网内查找病毒主机】

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即

192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。

C:Documents and SettingsALAN>C:
btscan -r 192.168.16.1/24

Warning: -r option not supported under Windows. Running without it.

Doing NBT name scan for addresses from 192.168.16.1/24

IP address NetBIOS Name Server User MAC address

——————————————————————————

192.168.16.0 Sendto failed: Cannot assign requested address

192.168.16.50 SERVER 00-e0-4c-4d-96-c6

192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88

192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78

192.168.16.175 JC 00-07-95-e0-7c-d7

192.168.16.223 test123 test123 00-0d-87-0d-58-5f

3)通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决思路】

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。

2、设置静态的MAC–>IP对应表,不要让主机刷新你设定好的转换表。

3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用""proxy""代理IP的传输。

6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。

8、管理员定期轮询,检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

【HiPER用户的解决方案】

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定路由器的IP和MAC地址:

1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。

2)编写一个批处理文件rarp.bat内容如下:

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows–开始–程序–启动”中。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

最近ARP挂马搞的很火呀!!我也来研究一下!

最近ARP病毒极为猖獗,许多校园网及网吧因受到攻击而导致网络缓慢、时断时续或者彻底无法上网。笔者的单位近期也不幸遭遇到了ARP病毒攻击,刚开始经过反复检查网线,及网络状况,发现并无断线的情况,无奈之后上网查找资料才确定系ARP病毒捣鬼。

病毒故障现象及诊断

情况一:在局域网中当有用户木马程序通过ARP欺骗对网络进行攻击,中毒的计算机会根据该网络的设置,克隆一个服务器或者路由器的IP地址和MAC地址出来,以此来截获网内发往外网的数据,这是典型的ARP欺骗案例。在攻击的过程中,被攻击的电脑常表现为突然不能上网,过段时间又能上网,常会反复掉线。

情况二:在局域网中某台电脑感觉ARP病毒后,会在网络中不断地向其实计算机发送ARP欺骗,让原本流向网关的流量改道流向病毒主机,造成受害者上网网速变慢,经常出现掉线的情况。

情况三:在局域网当有ARP欺骗发生时,在IP地址设置正常的情况下,可能电脑会显示“IP地址冲突”。

如网络用户在使用计算机过程中,突然发现无法上网,可以先禁用网卡,然后再启用,如果启用之后能上网,就有可能是ARP病毒所致。

另外,也可以通过下如操作进行诊断:点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。

图1

故障解决办法

可以使用ARP -S命令捆绑IP地址和MAC地址,将网内所有客户端都按找这个方法做好捆绑,确保其的唯一性。

编写批处理文件如下:

@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息…..
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息…..
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit

把以上批处理另存为ARP.BAT,然后把文件拖到“windows–开始–程序–启动”中即可。如果是在网吧中,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。

使用以上的方法绑定IP及网关之后,建议各位网友另外再安装ARP防火墙(ARP防火墙免费下载),彻底拒绝病毒于大门之外。

[NextPage]

引:局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。

  【故障原因】

  局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。

  【故障原理】

  要了解故障原理,我们先来了解一下ARP协议。

  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。

  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。  

  主机 IP地址 MAC地址

  A 192.168.16.1 aa-aa-aa-aa-aa-aa

  B 192.168.16.2 bb-bb-bb-bb-bb-bb

  C 192.168.16.3 cc-cc-cc-cc-cc-cc

  D 192.168.16.4 dd-dd-dd-dd-dd-dd  

  我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

  A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

  做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。

  D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。

[NextPage]

  【故障现象】

  当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

  切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

  由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。

  【HiPER用户快速发现ARP欺骗木马】

  在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):

  MAC Chged 10.128.103.124

  MAC Old 00:01:6c:36:d1:7f

  MAC New 00:05:5d:60:c7:18

  这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

  如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

  【在局域网内查找病毒主机】

  在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。

  NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。

  命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即

  192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

  NBTSCAN的使用范例:

  假设查找一台MAC地址为“000d870d585f”的病毒主机。

  1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

  2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:

  btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。  

  C:Documents and SettingsALAN>C:

  btscan -r 192.168.16.1/24

  Warning: -r option not supported under Windows. Running without it.  

  Doing NBT name scan for addresses from 192.168.16.1/24  

  IP address NetBIOS Name Server User MAC address

  ——————————————————————————

  192.168.16.0 Sendto failed: Cannot assign requested address

  192.168.16.50 SERVER 00-e0-4c-4d-96-c6

  192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88

  192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78

  192.168.16.175 JC 00-07-95-e0-7c-d7

  192.168.16.223 test123 test123 00-0d-87-0d-58-5f  

  3)通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

  【解决思路】

  1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。

  2、设置静态的MAC–>IP对应表,不要让主机刷新你设定好的转换表。

  3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

  4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

  5、使用""proxy""代理IP的传输。

  6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。

  7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。

  8、管理员定期轮询,检查主机上的ARP缓存。

  9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

  【HiPER用户的解决方案】

  建议用户采用双向绑定的方法解决并且防止ARP欺骗。

  1、在PC上绑定路由器的IP和MAC地址:

  1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。

  2)编写一个批处理文件rarp.bat内容如下:

  @echo off

  arp -d

  arp -s 192.168.16.254 00-22-aa-00-22-aa

  将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

  将这个批处理软件拖到“windows–开始–程序–启动”中。

==============================================================

ARP防火墙: http://www.antiarp.com/

ARP卫士: http://arp.enet100.com/

ARP保护神: http://www.zzcnc.com/viewsoft.asp?id=56

http://www.xinfeng.net/Soft/net/200611/1140.html

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

arp挂马 原理剖析47555病毒

最近这种病毒比较流行,在网上看到不少网友说自己的机器出现了类似的情况,就搜集了一些资料,希望对大家有帮助。

现象:不管是访问服务器上的任何网页,就连404的页面也会在后加入
,挂马的位置在html标记左右,上面这段恶意代码,它会每隔几秒加入代码,也就是说在输出具体的东西之前就被挂了,有时有有时又没有,不是网页源代码问题,也没有在网页源代码中加入恶意代码,即使重装服务器,格式化重分区过第一个硬盘,放上去网站没多久一样再会出现这种情况。

首先就排除了网站被入侵的可能,因为首页能加在那个位置只能是title的地方,用js控制也不大可能.然后去看了php.ini的设置也没有任何的异常,而且这个插入的代码有的时候出现有的时候不出现,说明不是网站的问题了.打开同服务器的其他网站也有这个情况发生,而且状况一一样.检查并且搜索挂马的关键字之后确定不是网站程序的问题.

那么剩下的要么是IIS自己出了问题,要么是网络的问题,因为数据是处理没有问题(这个由程序输出,而且即使是html都会出问题),经过一个一个排查,最后基本可以确定就是arp欺骗欺骗数据报走向,然后中间人修改一些定义的关键字.因为是网络层次有问题(所以重做系统是没有用的).

目的:通过arp欺骗来直接挂马
优点:可以直接通过arp欺骗来挂马.

通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码.
但这样存在局限性:
1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

优点:
1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.

原理:arp中间人攻击,实际上相当于做了一次代理。

正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A—->C—->B
B—->C—->A
实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如

可恶.现在FTP上不去..
6点多才去掉.现在又有

——————————————————————————–
幽灵男孩,2007-04-11 00:17:59

这情况是否可以通过SQL注入?
我的网站有防注功能.但还不够强.没对表单限制..
不知道是不是这个问题..奇怪的是只有INDEX.ASP有.
其他没有.
——————————————————————————–
epincn,2007-04-11 04:29:32

我去年有一次,一个服务器上几个网站都同时被加上iframe
发现很有规律,就是所有带有 index head top 文件名字的都加。
估计你得跟我这个一样。是服务器被放了木马,只要不清楚木马,删除了还会加上来。

让空间商杀木马吧。
——————————————————————————–
pk4321,2007-04-11 11:26:27

遇到这样现象的虚拟主机商我会选择放弃!
——————————————————————————–
Xinsoft,2007-04-11 11:47:00

不安全的服务器,或者不安全的代码,都有可能导致这种入侵。
——————————————————————————–
lyhlsm,2007-04-11 11:52:00

[QUOTE]下面引用由Xinsoft发表的内容:

不安全的服务器,或者不安全的代码,都有可能导致这种入侵。[/QUOTE]

那应该怎么解决呢?
——————————————————————————–
Xinsoft,2007-04-11 12:02:56

[QUOTE]下面引用由lyhlsm发表的内容:
那应该怎么解决呢?[/QUOTE]

如果Web站点日志完整的话,可以分析日志以确定或者排除从网站代码入侵的可能。
假如真是从网站代码入侵的,而且日志是完整的,应该能够看到相关的可疑请求,同时也能知道入侵的手段,知道是哪部分代码出了安全漏洞。

至于服务器安全因素的排查,就要看服务器的系统日志了。

网站出了安全问题,日志分析是很重要的环节。

如果有入侵检测系统(IDS),可以获得更详细的安全报告。

——————————————————————————–
wzpyqrbo,2007-04-11 14:53:50

有可能是病毒引起的。我最近自己用的那台机器就是这样。几乎每个网页都被加入了框架。在DW中新建一个页面底面就有框架了。现在用杀毒工具杀过后,还是有框架,只不过框架的地址已经为空了。
——————————————————————————–
Xinsoft,2007-04-11 15:49:44

服务器如果也染病毒,说明安全做得太差了。
——————————————————————————–
niuxgerrard,2007-04-11 15:54:21

是个问题。
——————————————————————————–
97 1 2 8: 此主题共有14帖 此页12帖 每页12帖

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ARP挂马梦游记!
最近ARP被病毒利用火爆了!似乎今年是ARP病毒的天下了。
从今天起,正式开始研究ARP在客户端的防御思路(网关绑定IP-MAC不考虑);
外网通信,通过IP转发包,内网通信,使用MAC传包;
目前的ARP病毒原理有三种,1.是对内网循环发送reply包,告诉全网的机子,自己是“网关”。嗅探密码或挂马;最多
2种是对网关发送单播包,刷新网关的ARP IP-MAC缓存表,欺骗网关,让将别的机子的包发给自己;之后挂马; 极少
3.两个IP对应一个MAC(这个IP可能是网关或任意一台客户机,甚至是全网IP),
广播到全网的机子,造成内网某IP有两个MAC,之后冲突断网。很多

对付第一种病毒,直接在本机绑定真实网关的IP-MAC;
第二种,要用主动防御思路,对网关发送单播包(广播包,太占带宽),告诉网关真实的IP-MAC对应关系。
这要和骗子机拼发包速度,这要牺牲一些网络带宽。另外是在网关上绑定IP-MAC,先不考虑网关防御;
第三种,我没招了。或许全网安装某产品或工具,在修改mac时,先判断网内是否已经存在这个MAC。防病毒利用;
以上笨招虽然可行,但问题多多,新加到网内的机子怎么办?换了网卡怎么办?

=============待解决问题==============
1.如何识别正常的MAC变更?

2.在已经感染病毒的网络内,进行绑定时,如何确认是正确的IP-MAC对应关系?

3.定位隔离病毒机。
扫描混杂模式网卡(对非混杂嗅探无效)
提前收集全网IP-MAC对应关系表,发现欺骗,进行匹配(对虚假MAC无效)
虚假MAC定位,……

4.两个IP对应一个MAC,两个MAC一个IP。

欺骗方式,请求包(容易引起ARP风暴),回应包(常用)。
虚假MAC欺骗,例如(11-22-33-44-55),实现反追踪。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

服务器被挂马现象ARP挂马资料
服务器网站均被挂马奇怪现象检查分析

问题:1.整个服务器没有出现挂马相关代码,也无webshell程序。

   2.挂马代码都出现在所有页面的顶部(标签前)。

   3.新上传页面连续刷新后,均出现挂马代码。且不是随时都出现。

经过以上分析,判定为ARP挂马。随后我们对整个网段的机器做了检查(名气比较大的机房,就不具体说了)!所有web服务器全部被挂马。寒啊!~~~~这东西比较恐怖~~只要机房做了隔离一般没事情,或者自己下载ARP卫士。

目前此挂马方式,呈上升趋势,希望各机房网管做好隔离,防止客户受到损失!!

如果有兴趣的朋友,可以一起探讨一下!
—————————————————————-
ps:检查文件是否被挂马的时候可以参考下!

一:框架挂马

二:js文件挂马

首先将以下代码
document.write("");
保存为xxx.js,
则JS挂马代码为

三:js变形加密


muma.txt可改成任意后缀
四:body挂马

五:隐蔽挂马

top.document.body.innerHTML = top.document.body.innerHTML + 'rn';

六:css中挂马

body {
background-image: url('javascript:document.write("")')}

七:JAJA挂马

八:图片伪装



arp 攻击原理及挂马分析专题

九:伪装调用:




十:高级欺骗

页面要显示的内容

————————————————————
PS:最新挂马的方法!

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

2003服务器 查IIS 挂马全过程

一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了

这种样式的代码 有的在头部 有的在尾部 部分杀毒软件打开会报毒

打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码

分析原因

首先怀疑ARP挂马,用防ARP的工具又没有发现有arp欺骗

而且arp欺骗一般不会每次都被插入代码,而是时有时无

而且使用http://127.0.0.1 或者http://localhost 访问的时候也可以找到这段代码

arp欺骗的可能排除。

然后就想到可能是JS被篡改,或者是其它的包含文件,查找后没有发现被改的页面 连新建的HTML页面浏览的时候也会被插入这段代码,那就只能是通过IIS挂上去的了。

备份iis数据然后重装iis,代码消失,将备份的iis恢复,问题又来了。

仔细寻找,问题应该出在IIS的配置文件上,打开配置文件,没有发现那段代码。

那很有可能是调用了某个文件,这个怎么查啊,忽然想起了大名鼎鼎的Filemon

本地载了一个上传到服务器上,打开Filemon,数据太多了,过滤掉一些没有用的

只留下iis的进程,数据还是很多,看来服务器上的站点还是挺多人在访问的。

关掉所有站点,建了一个测试站点anky 目录为D:www 在下面建了一个空白页面test.htm

访问一下这个页面代码被插进来了,再看一下Filemon 奇怪怎么读取C:Inetpubwwwrootiisstart.htm

打开C:Inetpubwwwrootiisstart.htm一看,里面就躺着

把代码删除了留空,访问test.htm 正常了,把C:Inetpubwwwrootiisstart.htm删除了再访问

test.htm 出现 “读取数据页脚文件出错”问题就出这里了,看来是调用了

这个文件。

把C:Inetpubwwwrootiisstart.htm清空就正常了,这样怎么行,解决问题当然要连根拔掉。

continue

有没有可能是扩展造成的,到扩展中检查了一遍全部都是正常的

当然 通过ISAPI 挂马的也是存在的

左想右想最后还是觉得配置文件有问题

打开配置文件,配置文件在%windir%system32inetsrvMetaBase.xml

用记事本打开,查找iisstart.htm 找到一行,开始以为是默认站点,后来一想不对啊

默认站点都删除了,再仔细一看这句代码为

DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm"

删除掉这一行,问题彻底解决了。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

dos之for命令实现扫描网段的端口,用于辅助解决ARP挂马
不需要任何工具,dos命令扫描一个网段的全部端口!
  在win2000下开一个dos窗口,然后执行
for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389
这样192.168.0.x这个段的所有开放3389端口得主机都会暴露
这条命令执行后
会在任务栏开254个小窗口
然后telnet链接失败的窗口会在大约5秒后自动退出
剩下的窗口就是相对应开放端口的主机了
看一下小窗口的标题可以得知主机的ip地址
如果你觉得机器性能很好的话 可以把/low参数去了
现在扫描一台主机的多个端口,如下
for /l %a in (1,1,65535) do start /low /min telnet 192.168.0.1%a
这样就扫描192.168.0.1的1到65535端口
现在扫描一个网段的所有端口
for /l %a in (1,1,254) do for /l %b in (1,1,65535) do start /low/min telnet 192.168.0.%a %b
这样就会扫描192.168.0.x段的全部1到65535段口

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

ARP病毒、ARP挂马常见的恶意页面总结,我做成了DNS屏蔽。
127.0.0.1 www.ll78.cn
127.0.0.1 www.9ysj.com
127.0.0.1 qq.520sf.org
127.0.0.1 go.ipcenter.cn
127.0.0.1 ip.8dunet.com
127.0.0.1 www1.winopen.cn
127.0.0.1 ip.alexaanywhere.com
127.0.0.1 www.f1ash8.net
127.0.0.1 www.1717kan.cn
127.0.0.1 ip.adanywhere.cn
127.0.0.1 59.34.197.239
127.0.0.1 www1.jlzqw.net
127.0.0.1 www.zpx520.com
127.0.0.1 go.bannerbox.cn
127.0.0.1 www.b1ueidea.com
127.0.0.1 www3.winopen.cn
127.0.0.1 www.pp913.com
127.0.0.1 www.baibaoxiang.cn
127.0.0.1 www.jobl68.com
127.0.0.1 yin520.com
127.0.0.1 w.vvcyin.com
127.0.0.1 web.77276.com
127.0.0.1 www.bbxdnzyy.com
127.0.0.1 www.xaitan.cn
127.0.0.1 www.55t5.com
127.0.0.1 a1188.go.3322.org
127.0.0.1 a0088.go.3322.org
127.0.0.1 w.qbbd.com
127.0.0.1 www.jyshn.com
127.0.0.1 61.152.169.234
127.0.0.1 www.ii35.com
127.0.0.1 www1.ycdy.com
127.0.0.1 ip.123kan.com
127.0.0.1 www.ycdy.com
127.0.0.1 61.172.249.215
127.0.0.1 macr.microfsot.com
127.0.0.1 www.wxdown.net
127.0.0.1 aa.59ys.com
127.0.0.1 ad3.59ys.cn
127.0.0.1 cc.wzxqy.com
127.0.0.1 1.369dm.com
127.0.0.1 2007.ads3721.com
127.0.0.1 tugood.ip8868.cn
127.0.0.1 ip.ipunion.cn


http://www.9ysj.com/js/service.js 此JS带很多毒.

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

document.write('');

[4.25]

http://yin520.com/hell.htm

[4.24]

http://w.vvcyin.com/1/005.htm

http://web.77276.com/0.htm

[4.21]

http://www.bbxdnzyy.com/lpu/index.htm

[4.10]

http://www.xaitan.cn/mmmm.htm

[4.7]

http://web.cn3721.org

[4.4]

http://www.55t5.com/

www.ecorg.com/dianshqy/xskj.htm

[4.3]


http://w.qbbd.com/0.htm

http://w.qbbd.com/bd.htm

websitecondom.net/

http://www.jyshn.com/web/jyshn/index.html

http://61.152.169.234/sys.htm

[4.1]

www.iicce.com
http://www1.ycdy.com/66ad/ads/1.htm

http://www1.ycdy.com/66ad/ads/test2.htm

http://www1.ycdy.com/66ad/ads/vip.jpg

http://ip.123kan.com/wmv.exe

http://www.ycdy.com/t.js

http://61.172.249.215/vvip.htm

http://www1.ycdy.com/66ad/ads/wm/06014.htm

进去上面那些网址里找.一大堆.懒得写了

[3.31]

http://macr.microfsot.com/noindex.js

http://www.wxdown.net/JS/jianjie.JS
找了N久.汗.
http://aa.59ys.com/111/index.htm

http://ad3.59ys.cn/316976779wxdown.php

http://cc.wzxqy.com/wm/index.htm

http://cc.wzxqy.com/wm/1.js g
http://1.369dm.com/popwin/soft/0a00bd5f96a30fef.exe 6

http://cc.wzxqy.com/wm/mm.exe

[3.30]

http://59.34.197.239/in.js

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

');

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

ARP攻击,恶意代码写入网络数据包 大 | 中 | 小 2007/02/13 17:01 海色の月
之前我们发表过一篇日志小心恶意网址a.d3a.us,今天上午发布了其中病毒的解决方案,下午的时候我们发现在这个病毒下载的其它恶意程序里有使用ARP欺骗方式“挂马”的恶意程序。

利用的工具是zxarps,Build 01/17/2007 By LZX(还挺新的,要尽早扼制才行)。病毒一边不断地清ARP表(arp.exe -d),一边向指定IP段指定端口发送攻击命令:
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -reset
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -port 80 -insert ""
欺骗指定IP段内的客户端,插入恶意代码到数据包中,然后返回给被欺骗客户端,客户端浏览网页时感觉就像网站被挂马一样。如果被这ARP欺骗攻击导致局域网内多台机器都中了这个东西,想象这个局域网会乱到什么程度,清除起来也不会很方便了吧。

附一点说明:
引用
-idx [index]    网卡索引号
-ip [ip]       欺骗的IP,用'-'指定范围,','隔开
-port [port]     关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口
-reset       恢复目标机的ARP表
-insert [html code] 指定要插入html代码
“挂马”的方式方法越来越多,继修改网页文件流行后,这种“ARP挂马”也跃跃欲试,局域网啊!

而且而且,现在的病毒和木马群分工越发明确,比如某邮件蠕虫,附在邮件附件里的是downloader,down下来的有专门负责发送邮件的、有专门负责收集地址的、有专门检查自己更新的、还有专门进行DDoS的;木马群也是这样,一个恶意网站down一个木马,它再down一堆其它木马,有盗Q的、有盗网游的、有专门发尾巴的,还有专杀反病毒软件清道的,还有还有……专门负责广告推广的!唉,互联网啊!

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

LD上有不少网友中了此招,之前已经有人说ARP,对没错就是卡巴都无能为力的ARP欺骗 fd,B`MCE–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!– l L=_{_?
Ssa=dX}d–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–;9F^" #r
原理: sb!0"j"–逐 梦 论 坛 www.zhumeng.org/bbs 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–)21m{%e
?X4al 7–逐梦论坛 bbs.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–OSk9|Tx
目的:通过arp欺骗来直接挂马 GkK#'hN–逐 梦 论 坛 www.zhumeng.org/bbs 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–Z6€'
对服务器其下网站插入类似: s4wV3an3–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–fUP9)5t)h
cDJs8=MK–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–FK~4N/8
rBlV: QF'?–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–hX?K!'u
优点:可以直接通过arp欺骗来挂马. X(buqy' !–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–w}Yz.)q '
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码 o(c1'"/C.o–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–?N€D~vrIz}
 =%QV%–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–3PX05XTK^
但这样存在局限性: 6/0@PqT3y–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–!/}D|0€
1.管理员经常不登陆,那么要很久才能监听到密码 v"$DMqc)Y6–逐 梦 论 坛 www.zhumeng.org/bbs 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–svZMU€
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码. *$dW;Nq.W7–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–=L0KR
]/zCMS [|–逐梦论坛 bbs.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–~}Mmtcefh
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马 U$^* om–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–Gs 6,~e.
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句. d?Pz[ `*–逐 梦 论 坛 www.zhumeng.org/bbs 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–}) 0{ 4h
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果. +!P@oyQ? –逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–€KG2n|cm-
a}Jk_3€;–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–=Zu=0-€
原理:arp中间人攻击,实际上相当于做了一次代理。 zd J]?k–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–~5DPO=*X-
h~{@~ N"5–逐梦网 www.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–gG#V%`r
正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机 cBCb6Y–逐梦论坛 bbs.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–xN|ax€?x
arp中间人攻击时候: A—->C—->B Du9.:Aj–逐 梦 论 坛 www.zhumeng.org/bbs 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–MD[oy ; ?
B—->C—->A BUZmI (g–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–fm!!duy
实际上,C在这里做了一次代理的作用 :v7+4–逐梦论坛 bbs.zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!– ~Xer€j
.Wsn::–逐*梦*网 zhumeng.org 逐梦网|逐梦论坛 http://www.zhumeng.org | http://bbs.zhumeng.org 欢迎您的光临!–BfWd1(!Mu
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 ")放在网上,存为konzenkane.js.然后挂码代码为:

zxarps.exe -idx 0 -ip 192.168.1.1-192.168.1.254 -port 80 -insert ""
ZXARPS.EXE还有个DNS欺骗功能.用法如下:

zxarps.exe -idx 0 -ip 192.168.1.55,192.168.1.66 -hackdns "www.aa.com|192.168.1.8,www.bb.com|192.168.1.8"
(注:192.168.0.55,192.168.0.66为我们要欺骗的两个IP,www.aa.com和www.bb.com为他们常上两个网,192.168.1.8为我们自己内网的IP.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

赞(0) 打赏
未经允许不得转载:刘旭的人个博客 » arp 攻击原理及挂马分析专题
分享到: 更多 (0)
标签:

评论 抢沙发

评论前必须登录!

 

QQ :13945502电话:13913571631

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

×
订阅图标按钮