一、问题提出
这个应该是ARP欺骗吧,我单位机子中过,每打开一个网页上面都被iframe。
前段时间,浏览我们公司一台服务器上的所有网站,前面都被加上,刷新的时候有时候又没有了
新建测试站点也有相同现象发生
在同一时间不同地点的客户端浏览有相同现象发生,在服务器上浏览没有这个问题
检查服务器上代码没有发现被修改的痕迹,IIS设置也没有发现加上isapi的痕迹
后来也没有做什么更改,一切又正常了
不知道这到底会是什么问题?不知道在路由器上有无产生这种现象的设置?
显然,大多数这样的情况是非网站主所为,而是大多被利用来挂马或加载恶意广告所造成,那么有多少途径可以导致网页被插入iframe呢?也就是说有用户浏览你的网站会出现被插入iframe的代码。

二、在网页中插入iframe的可能途径
虽然问题简单,但详细说起来从服务器、传输过程和客户端3个层次来分析。
1、就服务器而言存在的可能:
(1) 直接修改网页插入,现象是网页被改动了。
(2) 通过ISAPI Filter插入,现象是出现了陌生的ISAPI加载项。
(3) 通过IIS的脚注插入,现象是脚注设置被启用了。
(4) 通过网络TDI或NDIS插入,现象是出现了不知名的网络驱动类程序。
2、就传输过程存在的可能:
(1) 路由器被劫持,现象是只要通过某个路由器访问则出现代码,否则就没有。
(2) ARP欺骗,现象是arp表显然不正确。
3、就客户端存在的可能:
(1) 恶意程序或恶意插件,现象是其他机器访问网站就没有被插入代码。

三、问题的解决:
可以先从服务器检查入手,发现可能存在的问题,若排除后则可判定是传输过程中被劫持,若仅仅是个人用户则可能是用户机器中毒造成的,现在好象ARP欺骗也会如此。