求助：apache被挂恶意代码

doking2008

UID: 36818
帖子: 98
积分: 225
在线时间: 13 小时

1^# doking2008 发表于 2007-11-12 11:00

求助：apache被挂恶意代码

服务器：apache+mysql+php

打开客户端用httpwatch打开http链接，多出一个恶意代码，访问一个莫名的网站。

排除php代码被改，因为我重新指定空目录，恶意链接还是存在。

怀疑：
1。服务器被arp攻击，在网关出口被加载代码。前提去机房不方便，没有证据不好要求机房查询，有何方法可以在服务器上确认？
2.服务器被入侵。有何方法可以确认？

doking2008

UID: 36818
帖子: 98
积分: 225
在线时间: 13 小时

2^# doking2008 发表于 2007-11-12 11:39

确定是arp攻击，已经处理！！

lushy

UID: 37857
帖子: 76
积分: 174
在线时间: 8 小时

3^# lushy 发表于 2007-11-12 15:31

arping 网关地址
观察结果，如果出现了两个不同的MAC地址，就可以确定是ARP攻击了。将两个MAC都提供给机房。