Goooder思考

aishengho病毒:网吧arp病毒攻击的防御【转贴】

关键词： arp病毒    aishengho病毒    xxx.aishengho.c    qqq.aishengho.c                                          

我的服务器不幸被黑客攻击，并被注入aishengho病毒，所以当访问网站的时候，同时会打开其他如xxx.aishengho.com qqq.aishengho.com等恶意网站。下载最新safe360无法检测到木马，卡巴斯基杀毒软件无法安装在win2003上，服务器上的网站被迫关闭。

更糟糕的是，windows update无法起作用，不过，阅读了下面的文章，我删除了npptools.dll，结果windows update可以起作用了。

木马还未杀绝，但毕竟是一进步。

－－－－－－－－－－－－－－－－
解决方法二：
     1：在网关路由上对客户机使用静态MAC绑定。ROUTE OS软路由的用户可以参照相关教程，或是在IP--->ARP列表中一一选中对应项目单击右键选择“MAKE STATIC”命令，创建静态对应项。
     用防火墙封堵常见病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下载
   
     2：在客户机上进行网关IP及其MAC静态绑定，并修改导入如下注册表：
    （A）禁止ICMP重定向报文
     ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。
     修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支，在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0（0为禁止ICMP的重定向报文）即可。
   
     （B）禁止响应ICMP路由通告报文
     “ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。
     修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery” REG_DWORD型的值修改为0（0为禁止响应ICMP路由通告报文，2为允许响应ICMP路由通告报文）。修改完成后退出注册表编辑器，重新启动计算机即可。
   
    （C）设置arp缓存老化时间设置
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
     ArpCacheLife　REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
     ArpCacheMinReferencedLife　REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
     说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP
     缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
     未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
     每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
   
     曾经看见有人说过，只要保持IP-MAC缓存不被更新，就可以保持正确的ARP协议运行。关于此点，我想可不可以通过，修改注册表相关键值达到：
   
     默认情况下ARP缓存的超时时限是两分钟，你可以在注册表中进行修改。可以修改的键值有两个，都位于
   
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
   
     修改的键值：
   
     键值1：ArpCacheLife，类型为Dword，单位为秒，默认值为120
   
     键值2：ArpCacheMinReferencedLife，类型为Dword，单位为秒，默认值为600
   
     注意：这些键值默认是不存在的，如果你想修改，必须自行创建；修改后重启计算机后生效。
   
     如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那么ARP缓存的超时时间设置为ArpCacheLife的值；如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么对于未使用的ARP缓存，超时时间设置为120秒；对于正在使用的ARP缓存，超时时间则设置为ArpCacheMinReferencedLife的值。
   
     我们也许可以将上述键值设置为非常大，不被强制更新ARP缓存。为了防止病毒自己修改注册表，可以对注册表加以限制。
   
     对于小网吧，只要事先在没遇到ARP攻击前，通过任意一个IP-MAC地址查看工具，纪录所有机器的正确IP-MAC地址。等到受到攻击可以查看哪台机器出现问题，然后通常是暴力解决，问题也许不是很严重。但是对于内网电脑数量过大，每台机器都帮定所有IP-MAC地址，工作量非常巨大，必须通过专门软件执行。

解决办法三：

删除system32\npptools.dll，删除了一个月了，从来没中过ARP病毒，也无任何不良反映，ARP病毒缺少了npptools.dll这个文件根本不能运行，目前所发现的ARP病毒通通提示npptools.dll出错，无法运行

暂时还没发现可以自动生成npptools.dll的病毒，npptools.dll本身就40多K，病毒如果还要生成自己的运行库的话，不是几十K的大小就可以办到的，再大一些的就不是病毒了

当然，还是要做ARP -S绑定，只绑定本机自身跟路由即可，可以在“一定程度上”减少ARP程序的破坏

删除不了同志，麻烦您先关闭文件保护，最简单的方法就是用XPLITE来关闭，网上一搜一大把的

另外再次声明，这个方法只对ARP病毒生效，对恶意软件只是小部分有效的

特别提醒一点：不要忘记了梆定外网网关和MAC，下面我举个例子吧

IP：10.10.10.10

子网掩码：255.255.255.255

网关：10.10.10.9[一定要绑定这个网关地址和MAC]

DNS：222.222.222.222

备用DNS：222.222.221.221

【作者: Goooder】【访问统计:】【2007年12月2日 星期日 19:46】【注册】【打印】