免备案的美国云服务器遇见了ARP欺骗攻击检测方式:
第一种:检查IIS文档页脚
美国云服务器无特殊情况文档页脚是不会被启用的,如果看到页尾被勾选并指向了一个本地HTML文件,可以打开指向本地文件查看是否为木马病毒代码。
第二种:检查MetaBase.xml文件
MetaBase.xml是IIS里的一个配置文件,位置:C:\WINDOWS\system32\inetsrv\MetaBase.xml
美国云服务器用户需要检查是否被添加上如下一段代码:
AccessFlags=”AccessRead | AccessScript”
AppFriendlyName=”默认应用程序“
AppIsolated=”2″
AppRoot=”/LM/W3SVC/81120797/Root”
AuthFlags=”AuthAnonymous | AuthNTLM”
DefaultDocFooter=”FILE:C:\WINDOWS\system32\Com\iis.htm”
DefaultDocFooter=后面一般是跟一个本地的文件,木马病毒就位于这里,把这段删除即可。
特别提示:MetaBase.xml无法直接修改,需要停止美国云服务器的IIS服务才能修改,或者在IIS管理器中右击【本地计算机】选择属性,勾选【允许直接编辑配置数据库】,这样才可以在不停止IIS的情况下编辑metabase.xml文件。
第三种:检查ISAPI筛选器
目前这些DLL加载的文件,美国云服务器任何一款杀毒软件和杀木马软件还不能有效的发现并杀掉。检测方法:打开IIS,右键点击网站属性,找到ISAPI选项卡,检查里面是否多了一些陌生的DLL文件,如果有陌生的DLL删除,重启IIS即可。
第四种:检查global.asa木马
该代码的作用在于因为global.asa 文件是美国云服务器网站的启动文件,当网站被访问时,会执行Application_Start代码段的内容,当访客第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。
global.asa木马平常不会影响美国云服务器网站的正常运行,黑客只用global.asa木马一般不是用来破坏网站的运行,而是与网站黑链类似,会对美国云服务器网站的搜索引擎收录产生特别恶劣的影响。常体现为搜索引擎收录大量异常的网站题目,而这些题目不是本身美国云服务器网站所发布的内容,,其直接后果是网站在搜索引擎的排名降落或者彻底小时,甚至会让访问在访问美国云服务器网站的过程中导致电脑中毒。
global.asa这个文件一般是在美国云服务器根目录下的,属于系统文件只能在cmd命令下强制删除。
以上内容就是关于美国云服务器ARP欺骗攻击的检测方式,用户们在日常维护系统的过程中需要多加注意,避免美国云服务器遭遇ARP欺骗攻击的影响。