文章目录
- 排查思路
- 常见技术手段
- 直接篡改页面
- iframe框架篡改
- JS 文件篡改
- 其他篡改
- 处置过程
- 事件描述
- 处置过程简述
- 摘抄
排查思路
- 排查篡改的页面。
- 排查是否有Webshell。
- 排查是否存在操作系统级木马。
- 排查网站存在的漏洞及黑客的攻击路径。
- 进行综合分析及溯源。
常见技术手段
直接篡改页面
直接篡改页面是比较简单的一种方式,常见的是篡改首页或二级页面,包括直接进行替换、篡改图片、篡改内容等。
这类事件在应急响应中,这种方式相对比较简单,可以直接发现。
iframe框架篡改
使用HTML语句“” (通过设置width和height 值来控制页面是否显示),这种方式相对也比较简单,可以直接发现。
JS 文件篡改
JS 篡改是比较常用的一种方式,HTML语句为
其中“any.js”为原有的JS文件,可以在原有的JS中篡改,也可以在新建页面中。此类篡改,通过抓包工具定位该JS文件即可发现
其他篡改
其他篡改或挂马技术,目前用的比较少,如body挂马、隐蔽挂马、CSS挂马、图片伪装等。
处置过程
事件描述
1、接到某单位通知,网站被篡改,
2、通过搜索引擎发现篡改页面,立即联系网站管理员,暂停网站的访问
3、初步确定是网站的某个目录下被上传了页面
处置过程简述
1、到达用户现后,直接查找攻击者上传的篡改页面,备份后删除
2、对篡改里面的代码进行分析
发现config.php是恶意文件,通过源代码发现,该文件存在恶意链接文件:
base64_decode('77+9LOS9k+iCsu+/vSzotrPnkIPvv70s5q+U5YiG77+9LOmAgeW9qemHke+/vSzniLHljZrkvZPogrLvv713d3cubG92ZWJvMjAuY29tIO+/vSA=')
进行base64解码后,访问网站,为菠菜网站
3、排查webshell,使用D盾进行查杀,河马webs hell进行检测,进一步确认主机是否存在木马
4、排查日志
5、还原攻击路线
根据事件线,还原攻击路径。
摘抄
仲夏、烟火、梅子酒、沙丁鱼、
樱花汇成的隧道,
火车经过的小镇,夏天,我在想念你的味道。
——《海街日记》
![[Django] Window上通过IIS发布Django网站](https://img2018.cnblogs.com/blog/531560/201903/531560-20190326132547303-675651300.png)
