有个老用户，政府相关的组织，网管没有经验，从前天晚上开始，不断地被人搞定起ARP欺骗进程，在同一网段里挂马。

这个网段的管理权限不在我这里，只有工作日白天才能找到人，所以查个ARP欺骗源还真是费周折，以致当时我不得不拿自己的一台机器放弃静态ARP项的设置来看看到底哪个MAC是源，然后迅速ping一遍网段内所有IP，看ARP表里有哪个MAC是符合的。

之所以这么麻烦，是因为我不想在我自己的服务器跑业务以外的程序，万一有病毒什么的更麻烦。业务服务器上，出于性能考虑，一般不装第三方的反病毒软件或防火墙，全部安全设置都用系统自己的组件来做。

已经明确的跟那个网管说了如果系统补丁全，并且有Windows的软件防火墙在跑，不太可能是系统漏洞，从ARP欺骗的进程不断起来看，很大可能是被人搞到了webshell，都说明白了让他看看某个时间段内的WEB日志，前天晚上一次，昨天下午一次，今天下午又出来问题。都是那个网管现场处理了，恢复正常后再次被人搞定。