上午上网的时候突然发现网站不能正常打开，杀毒软件macfee报警,查看网站源代码，发现最上面被附加代码，开始以为是网站或者IIS出问题了，直接上服务器去查看，结果发现网站没有问题；让外部网的朋友点击，也说是正常的，没有问题。继续在自己使用的机器上浏览，结果上新浪、搜狐等也是如此，开始怀疑是自己机器的问题，但仔细分析出问题的页面，发现挂马的位置在html标记前面,也就是说在输出具体的东西之前就被插入了代码，开始怀疑是传输中间的问题。
    下面为解决的办法，可能有更好的办法，欢迎大家提出来。

解决方法：

   1、下载ARP防火墙单机版：下载

    2、安装在网段内的微机上，安装上以后就可以上网了，通过检测找出源地址，一定要将所有的机器都找到，建议大家未雨绸缪，把自己单位的机器的mac地址与使用人做个记录，不然找起来比较麻烦。

   3、假设自己的并没有记录单位mac地址，需要耐心去找了，找的办法，对每个机器运行cmd,然后运行ipconfig /all，看看与上面软件检测的攻击者的MAC地址是不是一样，假设不一样，可以先安装上ARP防火墙单机版，这台机器就可以正常上网了；也可以运行cmd，然后运行arp -a,假设里面显示的东西很多的话（多于三个以上），那这台机器肯定是中了病毒，找到出问题的危机后首先断开中病毒的机器网络，然后重做系统。

以下材料为从网络中找的背景资料：arp挂马资料

目的：通过arp欺骗来直接挂马    优点:可以直接通过arp欺骗来挂马.     通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码, 但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码     2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码. 优点:    1.可以不用获得目标主机的权限就可以直接在上面挂马    2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.    3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.     arp中间人攻击，实际上相当于做了一次代理。     正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机     arp中间人攻击时候: A---->C---->B     B---->C---->A    实际上,C在这里做了一次代理的作用     那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,。