Web应急:网站首页被篡改

最新推荐文章于 2023-07-06 20:57:33 发布
最新推荐文章于 2023-07-06 20:57:33 发布
阅读量605 收藏 2
点赞数 1
文章标签: shell
原文链接:http://www.cnblogs.com/xiaozi/p/10998558.html
版权

网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。

现象描述

网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。

问题处理

1、确认篡改时间

通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 。

2、访问日志溯源

通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址。

进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。

image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间。

3、寻找真相

我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35。

通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp)。

根据这几个时间节点,我们尝试去还原攻击者的攻击路径。

但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。

黑客是如何获取webshell的呢?

可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。

本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度。

转载于:https://www.cnblogs.com/xiaozi/p/10998558.html

an0708
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次被木马攻击的记录
kshzhaohui的专栏
07-29 332
描述 最近一个老同学跟我说他部署在阿里云上的系统,在tomcat的目录下出现了一个index.jsp文件,内容大致如下: 我一看发现这不就是一个木马后门文件吗,只需要通过参数ejiaogl传入一个经过base64编码的Class文件,这样就可以解码然后被类加载器加载,而我们知道类被加载的时候是可以执行static代码块的,而这个代码块可以任由攻击者来指定要执行的代码,是非常危险的,为了更加形象我特意做了一个模拟攻击。 模拟攻击 准备木马文件 准备一个Tomcat,直接启动即可,默认访问的是ROOT目录下的
JSP的安全问题
iamqianqian的专栏
02-08 1345
 今天看了一下JSP安全性问题的相关文章,下面是引自http://gocom.primeton.com/blog/index.php?op=ViewArticle&articleId=431&blogId=133的一部分内容。  JSP安全问题主要有哪几方面?  本节重点在于对jsp安全问题进行分类阐述和提出解决的建议,所以每种类型的安全问题只采用了一个例子,对于其它各种漏洞的具体细节如涉
传说中的JSP木马!JSP资源管理器.
laobu的专栏
09-20 2794
 其实这不能算是木马了.不过如果能上传到某个垃圾服务器上倒是可以做很多事.呵呵.下面是程序原代码:  文件名 adminIndex.jsp注意:这里用到了一个包. org.apache.commons.fileupload.* 如果你有了这个包,可以把 页面中 注释的部分去掉.即可实现文件上传功能.这个是上传文件用的包 commons-fileupload-1.0.jar 可以到
java jsp 木马_JSP安全开发之XSS漏洞详解
weixin_39991055的博客
12-21 507
前言大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种漏洞?出现这种漏洞应该怎么修复?正文1.XSS?XSS?XSS是什么鬼?XSS又叫跨站脚本攻击(Cross Site Scripting),我不会告诉他原本是叫CSS的,但是为了不和我们所用的层叠样式表(Cascading Style Sheets)CSS搞混。CS...
如何解决网站首页老被黑客篡改并被百度安全中心拦截提示 该页面存在木马病毒的实战过程
网站安全专家
06-20 1万+
2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木马病毒!网站在百度的收录与快照也被劫持成什么世界杯投注,以及博彩,赌博等等的内容,根据以上客户给我们反映的网站被黑的问题,我们Sine安全公司立即安排安全技术人员对客户网站被黑的情况进行了详细的网站安全检测与代码的人工安全审...
网站篡改演练方案(演练方案).pdf
09-27
网站篡改演练方案(演练方案).pdf
Web应用安全:安全隐患产生的原因.pptx
06-18
面对这些安全隐患,Web应用的安全策略应包括定期更新系统和软件、实施严格的访问控制、使用防火墙和其他安全软件、培训员工识别和应对威胁,以及制定应急响应计划,以降低风险并迅速恢复服务。同时,数据加密和备份...
重要时期安全保障方案及应急响应指南.zip
04-02
内容包括:重要时期安全保障方案、安全事件分类分级标准、应急演练方案、恶意代码应急响应指南、web攻击及篡改应急响应指南、DDOS攻击应急响应指南、网络设备应急响应指南、Windows应急响应指南、Linux应急响应指南...
网站应急管理制度、流程、应对措施.doc
09-23
网站应急管理制度、流程、应对措施】文档详细阐述了如何管理和应对政府政务服务中心的网络与信息安全事件。该预案旨在预防、监测、报告和处置这些事件,以提高应急响应能力,减少损失,并确保信息基础设施和重要...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell...Web实战篇:网站被植入Webshell、批量挂黑页、新闻源网站劫持、移动端劫持、搜索引擎劫持、网站首页被篡改、编辑器入侵事件等
网站页面篡改及挂马的应急处置
千寻的博客
03-23 6340
文章目录排查思路常见技术手段直接篡改页面iframe框架篡改JS 文件篡改其他篡改处置过程事件描述处置过程简述摘抄 排查思路 排查篡改的页面。 排查是否有Webshell。 排查是否存在操作系统级木马。 排查网站存在的漏洞及黑客的攻击路径。 进行综合分析及溯源。 常见技术手段 直接篡改页面 直接篡改页面是比较简单的一种方式,常见的是篡改首页或二级页面,包括直接进行替换、篡改图片、篡改内容等。 这类事件在应急响应中,这种方式相对比较简单,可以直接发现。 iframe框架篡改 使用HTML语句“” (
应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
今天是几号的博客
03-14 1997
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存马。aspx内存马查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存马之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
记录某大门户网站自动跳转不良网站,团队通宵排查病毒木马全过程
毕竟我是大神的博客
08-01 717
某大门户网站被挂马,从搜索引擎结果点击网站,自动跳转不良网站,团队通宵清理病毒,把代码翻遍竟然没有任何发现,最后发现竟然和代码无关。
记录一次企业官网被挂马的排查过程
qax
11-06 953
事情发生在一个月前的晚上,因为领导下令了,客户网站被挂马,跳转bc页,影响比较大,刚打完王者农药的我默默的关闭了手机,开启了我的花呗分期的电脑。 问题描述 访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页 排查过程 初步判断可能被修改js文件,但是翻...
第162天:应急响应-网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
qq_46081990的博客
07-06 593
针对网页篡改Web后门攻击应对措施:基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。
如何快速精准地实现网页篡改监测与处置
andre1918的博客
02-16 786
网页篡改,即攻击者故意篡改网络上传送的报文,通过入侵系统篡改数据、劫持网络连接或插入数据等形式进行,其本质是黑客通过注入攻击、文件包含等Web攻击方式,或者植入病毒木马等攻击手法获取网站管理权限,从而对网站内容进行篡改。网页篡改具有传播速度快、传播范围广、事后影响大、事后消除难等特点。
网站被挂马的原因排查,附图文操作教程
12-31 958
相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢? 本文结合自己的处理流程进行梳理并分享。 1)服务器防御性非常重要 多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。 我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门
浏览器打开的网页被恶意篡改的三种解决方式 个人总结的最全的方式,亲测有效
热门推荐
平姐设计的博客
09-24 1万+
在家里折腾了大半天,也百度了很多相关解决方案,但是都不全,这里我把自己总结的方式分享给大家浏览器被2345或者360恶意篡改有三种手段,要是这三种手段都用在你的电脑上了,那抱歉了,解决其中一种方式都是没有用的,下面我们来看看是那种方式,你们也可以检查一下自己的电脑。
网页篡改事件应急案例
m0_74079109的博客
11-04 1046
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible;应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。图 5.29 web 日志。
web篡改应急预案演练
最新发布
10-11
Web篡改应急预案演练是一种系统的演练活动,旨在测试和验证组织面对Web篡改事件时的应急响应能力。以下是关于Web篡改应急预案演练的答案: 首先,在进行Web篡改应急预案演练前,我们应该先制定一个完善的应急预案。这个预案应该明确包括以下内容:应急组织的职责和责任、应急响应流程、应急通信渠道、应急工具和设备的准备、应急人员培训等。确保在演练过程中,所有参与人员都能清楚了解自己的角色和任务。 其次,在演练中,可以模拟一个实际的Web篡改事件,并设定合理的情景来评估组织的应急响应能力。例如,模拟网络攻击者通过漏洞入侵网站篡改网页内容,然后观察应急响应团队的反应。这可以帮助发现和弥补预案中可能存在的不足之处。 演练过程中,还可以结合技术手段,使用演练工具来模拟Web篡改场景。例如,在一个隔离环境中进行测试,并使用专业的Web安全扫描工具来检测和修复漏洞。 在演练结束后,应当对演练过程进行评估和总结,并提出相应的改进措施。这可以帮助不断完善应急预案和应急响应能力,提高组织对Web篡改事件的应对能力。 总之,Web篡改应急预案演练是一种非常重要的活动,可以帮助组织提高应对Web篡改事件的能力。通过定期的演练,组织可以不断改进预案和响应流程,以应对日益复杂和智能化的网络攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值