一个月前,http://www.sunnyidea.com 被google报为恶意网站,经查是服务器上由于另外一网站的漏洞被注入了病毒。还好我发现及时,反应迅速,在被报为恶意网站后的不到七天就从google的黑名单中解放了。(具体方法是:在清除病毒后,利用google的webmaster tools提出review request)
然而好景不长,过了不到一周,又发现http://www.sunnyidea.com 主页源码的前面被加入了一段JS,然而这次,我找死了也没在网站源码中找到病毒。
更近一步分析发现,服务器上所有的.asp页面都会在前面加入此JS,而PHP和html没事。并且ASP页面的下载经常被中断。一开始怀疑是IIS出了问题,查了半天也没查出个所以然来。
后来试着ping了下网关,发现时断时续,很时奇怪。这时才想到莫非是服务器所在的局域网里有ARP病毒重定向了网关,检查了下发现网关的MAC地址和正常时是不一样的,于是就冒着风险试着用arp -s 绑定回了原来的网关地址,发现一切恢复了正常。
原来,arp病毒也可以出现在服务器端,一样的重定向网关,一样的加病毒代码,这么简单的事,居然我才想明白。
不过,这个病毒居然是挑食的,只影响ASP,有趣。
