文章目录

  • 一、网页篡改简介
  • 二、网页篡改检测技术
    • 1、外挂轮询技术
    • 2、核心内嵌技术
    • 3、事件触发技术
  • 三、网页篡改应急响应方法
    • 1、发生网页篡改
    • 2、隔离被感染的服务器/主机
      • 2.1、针对被篡改的网页
      • 2.2、针对未被篡改的网页
    • 3、排查业务系统
      • 3.1、异常端口、进程排查
      • 3.2、可疑文件排查
      • 3.3、可疑账号排查
      • 3.4、确认篡改时间
      • 3.5、日志排查
      • 3.6、网络流量排查
    • 4、恢复数据和业务
  • 四、网页篡改防御方法

一、网页篡改简介

网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。

网页篡改事件区别于其他安全事件的明显特点是:打开网页后会看到明显异常。

1、网页篡改的类型
明显式和隐藏式两种:
明显式网页篡改:攻击者为炫耀自己的技术技巧,或表明自己的观点实施的网页篡改;
隐藏式网页篡改:是在网页中植入色情、诈骗等非法信息链接,再通过灰色、黑色产业链牟取非法经济利益。攻击者为了篡改网页,一般需要提前找到并利用网站漏洞,在网页中植入后门,并最终获取网站的控制权。

2、网页篡改方法
文件操作类方法和内容修改类方法:
文件操作类方法:攻击者用自己的Web网页文件在没有授权的情况下替换Web服务器上的网页,或在Web服务器上创建未授权的网页;
内容修改类方法:对Web服务器上的网页内容进行增、删、改等非授权操作。攻击者直接将网站主页修改,显示为炫耀式的图片。

3、网页篡改的原因
1、攻击者获取经济利益经济利益一直是攻击者攻击的主要动机之一,购买攻陷站点来批量篡改页面,实现非法站点推广,从而获得巨大的经济利益。
2、攻击者向被篡改站点网页嵌入浏览器挖矿脚本或在网站中加JavaScript代码,用户通过浏览器访问这些站点时, 脚本会在后台执行,并占用大量资源,出现计算机运行变慢、卡顿,CPU利用率飙升的情况,进而使用户计算机沦为挖矿的‘肉鸡”,且用户很难察觉。
3、攻击者展现能力,损坏他人形象
4、通过网页篡改,实现后续其他攻击:如网页挂马、水坑攻击、网络钓鱼等。

二、网页篡改检测技术

1、外挂轮询技术

用一个网页读取和检测程序,以轮询方式读出要监控的网页,与真实网页比较,来判断网页内容的完整性,对被篡改的网页进行报警和恢复。

2、核心内嵌技术

将篡改检测模块内嵌在Web服务器软件中,它在每个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并及时报警和恢复。

3、事件触发技术

使用操作系统的文件系统或驱动程序接口,在网页文件被修改时进行合法性检查,对于非法操
作进行报警和恢复。

三、网页篡改应急响应方法

点击查看Windows入侵排查
点击查看Linux入侵排查

1、发生网页篡改

网页篡改事件区别于其他安全事件的明显特点是:打开网页后会看到明显异常。
1、业务系统某部分网页出现异常字词
网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法App推广内容等。
2、网站出现异常图片、标语等
网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等。

2、隔离被感染的服务器/主机

2.1、针对被篡改的网页

1、篡改内容较少:先将相关网页进行下线处理,其他网页正常运行,然后对篡改内容进行删除恢复;
2、篡改的内容较多:建议先对整个网站进行下线处理,同时挂出网站维护的公告,使用网站定期备份的数据进行恢复。
3、有备份数据:无论篡改内容是多是少,都可进行网站覆盖恢复操作(覆盖前对被篡改网站文件进行备份,以备后续使用),避免有未发现的篡改数据。
4、没有定时备份:下线处理后,在旧数据的基础上,手动进行修改、完善。

2.2、针对未被篡改的网页

进行隔离操作,隔离方法如下:
1、物理隔离的方法主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接,禁用网卡,并拔掉服务器/主机上的所有外部存储设备等;
2、对访问网络资源的权限进行严格的认证和控制。常用的操作方法是加策略和修改登录密码。

隔离被感染的服务器/主机的目的
1、防止木马通过网络继续感染其他服务器/主机;
2、防止攻击者通过已经感染的服务器/主机继续操控其他设备。

3、排查业务系统

隔离被感染服务器/主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否植入后门。在完成以上基本操作后,为了避免造成更大的损失,应第一时间对篡改网页时间、篡改方法、入侵路径种类等问题进行排查。

网页被恶意篡改是需要相应权限才能执行的,而获取权限主要有三种方法:
1、通过非法途径购买已经泄露的相应权限的服务器账号;
2、使用恶意程序进行暴力破坏,从而修改网页;
3、入侵网站服务器,进而获取操作权限。

应对网页篡改事件进行的系统排查如下:

3.1、异常端口、进程排查

初步预判为网页篡改攻击后,为了防止恶意程序定时控制和检测网页内容,需要及时发现并停止可疑进程。
1、检查端口连接情况,判断是否有远程连接、可疑连接。
2、查看可疑的进程及其子进程。重点关注没有签名验证信息的进程,没有描述信息的进程,进程的属主、路径是否合法,以及CPU或内存资源长期占用过高的进程。
Windows
使用netstat -ano命令,可查看目前的网络连接,检查是否存在可疑IP地址、端口、网络连接状态。
当通过网络连接命令定位到可疑进程后,可使用tasklist 命令或在任务管理器窗口查看进程信息,确认是否为恶意进程。
Linux
使用netstat命令,可分析可疑端口、可疑IP地址、可疑PID及程序进程;之后使用ps命令,可查看进程,结合使用这两个命令可定位可疑进程信息。

3.2、可疑文件排查

发现可疑进程后,通过进程查询恶意程序。多数的网页篡改是利用漏洞上传Webshell文件获取
权限的,因此也可以使用D盾工具进行扫描。若发现Webshell文件,则可以继续对Webshell进
行排查。
Windows

1、各个盘下的temp/tmp目录,查看临时文件下是够存在异常文件;
2、回收站、浏览器下载目录、浏览器历史记录,cookie信息等,查看是否存在可以信息;
3、运行-->recent
查看Recent文件。Recent文件存储了最近运行文件的快捷方式;
4、运行-->%SystemRoot%\Prefetch\
查看预读取文件夹。存放系统已访问过的文件的预读取信息;
5、运行-->%SystemRoot%\appcompat\Programs\
查看Amcache.hve文件,该文件可查询应用程序保存路径、上次执行时间、SHA1值。

Linux:

3.3、可疑账号排查

攻击者为了实现长期对网站的控制,多数会获取账号或建立账号。因此,我们可以对网站服务
器账号进行重点查看,查看服务器是否有弱密码;远程管理端口是否对公网开放,从而防止攻击者获取密码,控制原有系统账号;查看服务器是否存在新增、隐藏账号。
1、Windows
使用net users命令,可查看系统用户情况;
打开计算机管理-->本地用户和组中可查找可疑用户及隐藏用户(用户名以$结尾的为隐藏用户);
有时攻击者也会克隆正常的用户名来隐蔽自己,通过注册表方法查找克隆用户;
通过专门的工具查找克隆用户,如使用LP_Check工具进行排查。

2、Linux

1、cat /etc/passwd    :可查看所有用户信息。
2、awk -F: '{if($3==0) print $1}' /etc/passwd    :可查看具有root权限的账户。
3、cat /etc/passwd | grep -E "/bin/bash$"   :可查看能够登录的账户。

3.4、确认篡改时间

为了方便后续的日志分析,此时需要确认网页篡改的具体时间。可以查看被篡改服务器的日志文件access.log,确认文件篡改大致时间。

3.5、日志排查

系统日志:
1、Winodws系统
在Windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,其位置如下。也可通过运行-->eventvwr.msc打开事件查看器。

在Windows 2000专业版/Windows XP/Windows Server 2003系统中:
系统日志的位置为:
C:\WINDOWS\System32\config\SysEvent.evt
安全性日志的位置为:
C:\WINDOWS\System32\config\SecEvent.evt
应用程序日志的位置为:
C:\WINNT\System32\config\AppEvent.evt在Windows Vista/Windows7/Windows8/Windows10/Windows Server2008及以上版本系统中:
系统日志的位置为:
%SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志的位置为:
%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志的位置为:
%SystemRoot%\System32\Winevt\Logs\Application.evtx

1.系统日志:查看是否有异常操作,如创建任务计划、关机、重启等。
2.安全性日志:查看各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件等。
3.应用程序日志:查看由应用程序或系统程序记录的事件.
2、Linux系统
Linux系统拥有非常灵活和强大的日志功能,可以保存用户几乎所有的操作记录,并可以从中检索出需要的信息,主要查看的日志如下:

(1) /var/log/messages: 查看是否有异常操作,如sudo、su等命令执行。
(2) /var/log/secure: 查看是否有异常登录行为。
(3) last: 查看最近登录行为。
(4) lastb: 查看是否有错误登录行为。
(5) /var/log/audit: 查看是否有敏感命令的操作。
(6) /var/spool/mail: 查看是否有异常的邮件发送历史。
(7) bash history: 查看是否有异常的命令执行记录。

Web日志:
Web日志记录了Web服务器接收处理请求及运行错误等各种原始信息。通过Web日志可以清楚
知晓用户的IP地址、何时使用的操作系统、使用什么浏览器访问了网站的哪个页面、是否访问成功等。通过对Web日志进行安全分析,可以还原攻击场景。
1、Windows系统
1.查找IIS日志, 常见的IIS日志存放在目录C: \inetpub\logs\LogFiles下(如果未找到,可通过IIS配置查看日志存放位置)。
2.查找与文件篡改时间相关的日志,查看是否存在异常文件访问。
3.若存在异常文件访问,则确认该文件是正常文件还是后门文件。
2、Linux系统
1.查找Apache和Tomcat日志, 常见存放位置如下。

Apache日志位置: /var/log/httpd/ access_ log。
Tomcat日志位置: /var/log/ tomcat/access log。

2.通过使用cat命令,可查找与文件篡改时间相关的日志,查看是否存在异常文件访问。
3.若存在异常文件访问,则确认该文件是正常文件还是后门文件。

数据库日志:
1、MySQL 数据库日志
1.使用show variables like "log_ %';命令,可查看是否启用日志。
2.使用show variables like 'general_log_file';命令,可查看日志位置。
3.通过之前获得的时间节点,在query_log中查找相关信息。
2、Oracle数据库日志
1.若数据表中有Update时间字段,则可以作为参考;若没有,则需要排查数据日志来确定内容何时被修改。
2.使用select * from v$logfile;命令,可查询日志路径。
3.使用select * from v$sql 命令,可查询之前使用过的SQL。

3.6、网络流量排查

通过流量监控系统,筛选出问题时间线内所有该主机的访问记录,提取IP地址,在系统日志、Web日志和数据库日志中查找该IP地址的所有操作。

4、恢复数据和业务

1、使用专业的木马查杀工具进行全盘查杀,备份并删除全部后门;
2、通过排查可疑IP的操作记录,判断入侵方法,修复漏洞;
3、如存在暗链,删除暗链;
4、有数据备份,还原备份数据直接恢复业务;没有数据备份,将网页篡改事件爆发前后被更改过的文件一并进行检查。

四、网页篡改防御方法

1、将服务器安全补丁升级到最新版;
2、封闭未使用但已经开放的网络服务端口及未使用的服务;
3、使用复杂的管理员密码;
4、设置合适的网站权限:网站权限设置包括为网站目录文件和每个网站创建一个专属的访问用户的权限。网站目录文件权限设置原则是:仅分配只写权限的目录文件,其他均为只读权限。
5、防止ARP欺骗的发生,安装ARP防火墙,并手动绑定网关MAC地址等;
6、部署安全设备;
7、定期对系统进行渗透测试,保证系统安全性。

网络安全应急响应----8、网页篡改应急响应相关推荐

  1. 网页篡改应急响应指南

    网页篡改应急响应指南 1.初步研判 2.隔离被感染的服务器/主机 3.排查业务系统 4.日志排查 5.网络流量排查 6.恢复数据和业务 7.网页篡改防御方法 1.初步研判 打开网页后会看到明显异常: ...

  2. 响应式网页设计_响应式网页设计中的常用技术

    响应式网页设计 在先前的文章中,我讨论了为什么Web准备就绪以进行响应式设计 ,以及网站所有者如何使用用户设备和屏幕空间的上下文来跨各种尺寸的屏幕(包括PC,电话) 为用户提供上下文相关的体验.和控制 ...

  3. 响应式网页设计_响应式网页设计–如何使网站在手机和平​​板电脑上看起来不错

    响应式网页设计 In the rapidly evolving landscape of connected devices, responsive web design continues to b ...

  4. 响应式网页设计_响应式网页设计:我们从这里去哪里?

    响应式网页设计 This article is part of a web development series from Microsoft. Thank you for supporting th ...

  5. html响应式布局是什么,什么是响应式网页设计?响应式布局的实现原理

    概念 响应式网页设计最初是由 Ethan Marcotte 提出的一个概念:为什么一定要为每个用户群各自打造一套设计和开发方案?Web设计应该做到根据不同设备环境自动响应及调整.当然响应式Web设计不 ...

  6. html响应式布局平移,响应式网页设计、响应式布局的实现原理

    概念 响应式网页设计最初是由 Ethan Marcotte 提出的一个概念:为什么一定要为每个用户群各自打造一套设计和开发方案?Web设计应该做到根据不同设备环境自动响应及调整.当然响应式Web设计不 ...

  7. 响应式网页设计_响应式网页设计的意义和目的

    响应式网页设计 The following is an exclusive extract from our new book, Jump Start Responsive Web Design, 2 ...

  8. 设计师必读的15个响应式网页设计教程

    @陈子木 响应式设计是由著名网页设计师Ethan Marcotte在2010年5月提出的设计概念,随后席卷前端和设计领域,成为了如今网页设计的大趋势.正如同Ethan所说:"响应式网站设计提 ...

  9. 都2021年了,你不会还没掌握响应式网页设计吧?

    如何掌握响应式网页设计 知道响应式设计与自适应设计 反应灵敏 适应性强 使用相对单位 将设计划分为断点 引导响应断点 了解最大值和最小值 使用嵌套对象 移动端或PC端优先 理解Web VS Syste ...

最新文章

  1. android jni通过cmake使用第三方静态库和动态库
  2. 坐标系转换工具_借助工具实现不同坐标系之间的转换
  3. Greenplum:你不可不知的实施与维护最佳实践
  4. Vue:默认的App.vue
  5. 半小时在白板上写代码实现一致性哈希Hash算法
  6. 科学计算机怎么算四分位数,83939数理分析网
  7. 等保2.0二级通用要求
  8. Netapp存储模拟器一战成功
  9. python数字信号处理应用pdf艾伦唐尼_Python数字信号处理应用
  10. 网络图片爬虫(几个简单步骤实现网页图片的爬取,详细步骤,超详细,简单易懂)
  11. 网页原型设计工具设计_网页设计工具从下往下
  12. 计算机中的on有什么功能,计算机上的on/c起什么作用
  13. GIS(地理信息系统)
  14. 概率论笔记3.1二维随机变量及其函数分布
  15. MySQL SUM()函数按条件求和
  16. 软件设计模式与体系结构实验——2.1-1(2)(抽象)工厂模式的应用
  17. C++实现Cholesky分解
  18. MyEclipse 优化
  19. CookieSession
  20. 手机抓包+注入黑科技HttpCanary——最强大的Android抓包注入工具

热门文章

  1. cad安装日志文件发生错误_安装软件提示“打开安装日志文件时发生错误”解决办法...
  2. uni-app +vue+微信小程序 发布线上
  3. H2O机器学习:一种强大的可扩展的人工智能和深度学习技术
  4. 副本全攻略之哀号洞穴(超详细)
  5. 【传感器大赏】压电薄膜震动传感器
  6. 构建最小根文件系统lfs
  7. js实现汉字转成拼音
  8. Matlab:添加和删除表行
  9. 用计算机处理文字单元设计,计算机应用基础单元设计62(处理图像).doc
  10. python 异常学习1