今天發现了页面打开后是最上面有条js木马,我以為是網页代碼給人写入了,去看一下代碼切没有这条代碼,
查到最后才知道是服務器中了毒了,
问題已经找到,是同一个網段的網關机中了 ARP 病毒,导致所有網段内的服務器站點被挂马
ARP挂马病毒的症状為,同一个望段内所有服務器上站點的所有页面(不管是首页还是其他页面)都有病毒代碼存在,但是通过记事本打开页面文件又没有那句代碼。
处理方法,首先停止服務器上的一切網絡活動,然后用ARP專杀工具检测自己服務器是否安全,安裝微軟kb925902-x86-chs.exe补丁,然后安裝ARP防火墙,启用防护。从新启動计算机。一切OK
ARP防火墙启動后會提示某IP主机正在进行ARP欺骗攻擊,如果没有这样的提示,那么就是另一个方式ISAPI挂的马,这样的情况处理方法是,首先打开IIS管理器,然后點根網站,选择属性,然后在选择 ISAPI 筛选器、看看晒选器内是否有可以的DLL文件存在,如果是有請直接删除。
删除后請检测服務器上的漏洞,尤其是ASP有上傳功能的程序,在程序所指定的上傳目录設置用戶權限,通常只給 只读 權限,服務器站點的目录也要設置相应的權限,避免被入侵
