前天晚上我们的广告系统代码分发给个各个站长,站长反应我们的代码有问题,报错了。但是我们自己却没有发现认识木马和错误信息。
接着查看同样放了我们代码的52suda.com广告能正常显示,但是论坛确实被挂马了。整个站点的页面都成了iframe的一个子页面。
检查网站代码,没有发现木马代码,但是木马却一直存在,最后没办法,上传了一个空文件测试,不幸的是,即使访问空文件,木马还是存在。太奇怪了,没有代码的页面也能有木马?
另外一个更奇怪的事,我们的www.bucu.org.cn和ad.bucu.org.cn一直都没有出现木马。
没办法,google上查了下,有说是sql注入,有说挂马,有说arp攻击。
因为是访问空文件也会有木马产生,所以怀疑是arp攻击,但是我们访问bucu.org.cn确没有木马??
最后想起来bucu.org.cn这个域名做过智能解析,而我们服务器是双线的,问题可能是在这里。让在不同地方的朋友访问bucu.org.cn,果然是电信线路的有木马,而网通线路的就没有。
锁定问题,我们服务器的电信线路有arp攻击。报告给机房后第二天处理之后问题解决。