安全应急方法-站点页面被篡改

最新推荐文章于 2024-05-29 09:26:18 发布
最新推荐文章于 2024-05-29 09:26:18 发布
阅读量3.3k 收藏
点赞数
分类专栏: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hrayha/article/details/66974061
版权
安全 同时被 2 个专栏收录
26 篇文章 4 订阅
订阅专栏
linux
14 篇文章 0 订阅
订阅专栏

把自己工作中积累的一些经验写出来,希望对大家有帮助

       1)找到被篡改页面,stat文件记录更改时间及用户等信息

       2)将被篡改页面拷贝至其他非web目录,恢复正常页面

       3)查看页面被篡改时间的accesslog,找出后门文件及操作ip(可能有多个ip访问后门,需要全部记录,重点记录第一个访问ip)

       4)stat后门文件记录时间及操作用户等信息,备份文件至非web目录后删除

       5)查找其余后门文件,可以使用webshell查杀(如:http://www.d99net.net/down/WebShellKill_V2.0.8.zip,可先通过find /home/wwwroot/ -name *.php >> /data/webfilename然后再cat /data/webfilename |xargs tar -czvf /data/phpfile.tar.gz打包全部php文件 ),之前记录ip的所有请求记录,通过时间查找(如find /home/work –mtime -1 –type f 查找/home/work目录下一天内mtime变更过的文件),通过后门特征字符串查找(如find /|xargs grep -ri "Bot1234" -l 2>/dev/null 查找根目录下所有包含Bot1234字符串的文件)

       6)备份和删除全部发现的后门,完成止损

       7)通过在accesslog里面搜索可疑ip操作记录判断入侵方式

       8)修复漏洞

       9)根据篡改后页面特征查找是否存在其他被篡改页面(命令可参考5中提到的)并恢复

hrayha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网页篡改事件应急案例
m0_74079109的博客
11-04 1046
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible;应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。图 5.29 web 日志。
页面劫持的应对措施有哪些、应急响应中常见的几种页面劫持攻击应对措施、
seven9711的博客
12-27 910
由于近期遇到的两次面试都问了应急相关的知识点,正好前几天也有个应急响应的培训,想着温故知新,简单总结一些应急中的处置方案,便于高效率的处理应急事件。 以下内容均为实践中总结而来,个人认为处理应急事件肯定是以最快解决问题的方式进行,文章中都附工具地址,从操作思路来看,刚入门的朋友也能据此处理一些常规应急事件。 首先应急过程中遇到的事件分类,常见类型基本为网页篡改、网页挂马、勒索病毒、挖矿木马、拒绝服务攻击、dns劫持、IOC告警、APT攻击这些,下面会讲解遇到这些情况的处理方案。 网页篡改也有以下三个情况分
网站篡改演练方案(演练方案).pdf
09-27
网站篡改演练方案(演练方案).pdf
应急响应-网页篡改-典型处置案例
最新发布
qq_50765147的博客
05-29 1120
该系统部署phpstudy存在后门,以及采用某开源CMS,致使攻击者可以入侵服务器,且一旦入侵即为Administrators组权限。攻击者上传Webshell的时间分别为2019年9月13日和2019年11月6日。2019年11月6日上传Webshell的行为有可能是利用2019年9月20日爆出的phpstudy存在后门这一漏洞入侵的。攻击者上传Webshell后,在2019年10月28日创建隐藏用户tx$,企图通过该用户对服务器进行长久控制。
网络安全应急响应----8、网页篡改应急响应
七天
03-22 8982
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改的网页2.2、针对未被篡改的网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4、恢复数据和业务四、网页篡改防御方法 一、网页篡改简介 网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行
网页防篡改技术的实现
07-19
本文介绍了一般网页防篡改的技术,并且讲解一般的加密算法,检测算法等
网站篡改怎么办,如何进行有效的防护
HoewDec的博客
01-07 588
网页被篡改不仅会损害网站的形象,还可能对用户造成误导,甚至导致安全漏洞。三、接入漏洞扫描服务,采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。一、接入SCDN,SCDN具有网页防篡改功能,采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。6.使用网站篡改技术:采用专门的网站篡改技术,如数字签名、时间戳验证、核心内嵌技术等,可以有效防止网站篡改
网站系统安全应急预案-浙江海事局.doc
04-21
为了有效应对这些威胁,确保网站系统的稳定运行,浙江海事局制定了《网站系统安全应急预案》。 - **目标**: - 增强应急处理能力,形成高效应急机制。 - 保障局外网正常运转,减少计划外停机时间。 - 减少突发...
matlab_图像copy-move检测 图像篡改检测
04-24
图像篡改检测是一种用于鉴别图像是否被人为修改的技术,旨在恢复其原始状态或揭示篡改痕迹。本项目专注于“MATLAB图像copy-move检测”,这是一种常用的图像篡改检测方法。 Copy-Move篡改是指图像中的某个区域被复制...
交易信息被篡改的解决方法.txt
10-19
报错描述:ACQ.CONTEXT_INCONSISTENT(交易信息被篡改)或CONTEXT_INCONSISTENT(订单信息有错误,建议重新下单后付款。); 报错原因:该笔订单已经请求过一次且在支付宝这边创建交易了,商户未使用与上一次请求...
KSG-W-A-wp网页防篡改.doc
04-12
KSG-W-A-wp网页防篡改.doc
网站信息安全应急预案-等级保护安全管理制度.docx
10-28
综上所述,这个“网站信息安全应急预案-等级保护安全管理制度”文档详细阐述了如何建立一个全面、有效的信息安全管理体系,以防止、应对和减轻网络安全事件对网站的影响,保障平台的稳定运行和服务质量。它强调了...
网站篡改的原因 安全现状
韩梦飞沙_韩亚飞
03-28 2875
网站篡改的原因 客观原因: 操作系统和应用的复杂性,导致系统漏洞层出不穷。 虽然有防火墙、入侵检测;但是这些产品都是基于特定端口的,无法理解协议的具体内容。 网站容易被篡改的主观原因:  网站建设与保护措施建设不同步。  还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。   安全现状:  1、每个人都可能成为黑客 (自动化攻击工具)  2、Web平台漏洞百出 (平台更...
【网络安全网站篡改怎么办?如何进行有效的防护?
A1_3_9_7的博客
01-08 1606
随着互联网的飞速发展,信息传播的速度和范围得到了极大的提升。然而,这也为网页篡改行为提供了可乘之机。网页被篡改不仅会损害网站的形象,还可能对用户造成误导,甚至导致安全漏洞。因此,网页防篡改技术成为了网络安全领域的重中之重。那么什么是网站篡改呢?网站篡改是一种网络攻击行为,攻击者通过篡改网站内容,传播恶意信息,危害社会安全并牟取暴利。网站篡改通常利用网站应用中的漏洞获取权限,非法篡改Web应用中的内容、植入暗链等。这种攻击具有传播速度快、复制容易、事后消除影响难和实时防范难的特点。
应急响应-网页篡改-技术操作只指南
qq_50765147的博客
05-28 835
初步判断 网页篡改事件区别于其他安全事件地明显特点是:打开网页后会看到明显异常。 业务系统某部分出现异常字词 网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法APP推广内容等。2019年4月,某网站遭遇网页篡改,首页产生大量带有赌博宣传地黑链,如图所示。 网站出现异常图片、标语等 网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等。例如,政治攻击者为了宣泄不满,在网页上添加反动标语来进行宣示;还有一些攻击者为了炫耀技术,留下“Hack by 某某
网站信息被恶意篡改如何解决?
dilu2941的博客
09-16 1793
  每个网站都有自己标题、描述、关键词等等,但是如果自己网站的这些东西别人篡改了还不知道那就会造成损失了。出现这些问题都怎么解决呢?  IIS7网站监控  检测网站是否被劫持、域名是否被墙、DNS污染检测等信息。解决篡改问题办法:  1、扫描病毒  进入dede后台,点击“系统 - 病毒扫描 - 开始检测”出现以下结果,挨个清除;  dede木马自检程序  以下文件可以不用删除;  不用...
网页防篡改设计
sinat_35537471的博客
07-31 3518
    写这篇博客,只是为了可以在日后再用时,记起这个配置方法。 1、系统运行步骤 防火墙由某些触发条件触发同步,通过网络文件映射的方式读取远程server上的web更目录(需要管理员提前给出远程计算机的登录用户名密码以及web根目录所在位置) 根据同步来的网页根目录内容计算哈希 在有用户请求到来时,抓取后台server的响应信息,并计算响应报文的哈希,与本地备份的哈希进行对比,如果不一致...
篡改网站安全方案
leijmdas的专栏
04-04 1450
威协建模的作用更偏向于确保产品架构、功能设计的安全,无法保证编码的安全,但是输出的威胁建模报告中包含了全面的安全需求,这些安全需求不仅包括大的方案设计,如要认证、鉴权、审计,也可以包括安全细节的实现,比如具体的认证方式、密码使用哪种安全算法存储,使用什么方法生成安全随机数等。阿里云服务器ECS由阿里云云安全中心提供云服务器ECS的基础安全服务,包括异常登录检测、漏洞扫描、基线配置核查等,帮助用户收集并呈现安全日志和云上资产指纹,主要提供免费版的漏洞检测、安全告警和基线检查服务。检测和防护SQL注入攻击;
Apache怎么防止“Access-Control-Allow-Origin”被篡改
12-12
Apache可以通过修改HTTP响应头来防止“Access-Control-Allow-Origin”被篡改。...在Apache配置文件中添加以下代码可以...但是,这种方法可能会导致安全问题,因为它允许所有域名的访问。因此,最好只允许特定的域名访问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值