网站页面篡改及挂马的应急处置
文章目录
- 排查思路
- 常见技术手段
- 直接篡改页面
- iframe框架篡改
- JS 文件篡改
- 其他篡改
- 处置过程
- 事件描述
- 处置过程简述
- 摘抄
排查思路
- 排查篡改的页面。
- 排查是否有Webshell。
- 排查是否存在操作系统级木马。
- 排查网站存在的漏洞及黑客的攻击路径。
- 进行综合分析及溯源。
常见技术手段
直接篡改页面
直接篡改页面是比较简单的一种方式,常见的是篡改首页或二级页面,包括直接进行替换、篡改图片、篡改内容等。
这类事件在应急响应中,这种方式相对比较简单,可以直接发现。
iframe框架篡改
使用HTML语句“” (通过设置width和height 值来控制页面是否显示),这种方式相对也比较简单,可以直接发现。
JS 文件篡改
JS 篡改是比较常用的一种方式,HTML语句为
其中“any.js”为原有的JS文件,可以在原有的JS中篡改,也可以在新建页面中。此类篡改,通过抓包工具定位该JS文件即可发现
其他篡改
其他篡改或挂马技术,目前用的比较少,如body挂马、隐蔽挂马、CSS挂马、图片伪装等。
处置过程
事件描述
1、接到某单位通知,网站被篡改,
2、通过搜索引擎发现篡改页面,立即联系网站管理员,暂停网站的访问
3、初步确定是网站的某个目录下被上传了页面
处置过程简述
1、到达用户现后,直接查找攻击者上传的篡改页面,备份后删除
2、对篡改里面的代码进行分析
发现config.php是恶意文件,通过源代码发现,该文件存在恶意链接文件:
base64_decode('77+9LOS9k+iCsu+/vSzotrPnkIPvv70s5q+U5YiG77+9LOmAgeW9qemHke+/vSzniLHljZrkvZPogrLvv713d3cubG92ZWJvMjAuY29tIO+/vSA=')
进行base64解码后,访问网站,为菠菜网站
3、排查webshell,使用D盾进行查杀,河马webs hell进行检测,进一步确认主机是否存在木马
4、排查日志
5、还原攻击路线
根据事件线,还原攻击路径。
摘抄
仲夏、烟火、梅子酒、沙丁鱼、
樱花汇成的隧道,
火车经过的小镇,夏天,我在想念你的味道。
——《海街日记》
网站页面篡改及挂马的应急处置相关推荐
- 百度快照劫持解决域名跳转网站服务器被黑挂马木马删除漏洞安全修复
哥们的网站流量突然下降的很厉害,从原先一天500左右的IP,直接下降到80左右的IP,让我帮忙看看,网站到底哪里出了问题,首先我用百度的site:下网站的收录量以及快照更新的时间,发现百度快照收录的网 ...
- ASP.NET探针,网站被莫名的挂马
tz.aspx <%@ Page Language="C#" ContentType="text/html" responseEncoding=" ...
- 如何修复网站漏洞Discuz被挂马 快照被劫持跳转该如何处理
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2.X3.3来,最稳定的社区论坛系统.目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全 ...
- 网站被挂马怎么解决_网站被黑解决办法
网站被挂马后,我们打开的页面重则整个页面都被篡改为对方的页面,轻则打开看不出变化实际上在搜索引擎我们的标题和描述都被不法分子修改了,不看源代码我们都不能够轻易的察觉出来.接下来我们来看看这一类网站被黑 ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- 苹果maccms最新漏洞补丁 防止数据库被反复挂马
[推荐]2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码 ...
- 苹果cms最新漏洞总是被挂马跳转劫持 如何解决
2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告, ...
- 在网页中挂马和清除木马的方法
网页挂马是攻击者惯用的入侵手段,其影响极其恶劣.不仅让站点管理者蒙羞,而且殃及池鱼使站点的浏览者遭殃.不管是站点维护者还是个人用户,掌握.了解一定的网页挂马及其防御技术是非常必要的. 1.关于网页挂马 ...
- 网马的反挂马检测及精确投放(免杀)
前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过,遂与其深入探讨了下,事后又考虑到网马的精确投放,总结了一些点做了点儿技术实现 ,并在这里简单记录下想到的一些想法,欢迎其他大牛 ...
- 猫扑论坛遭遇黑客挂马
事件过程: 12月22日,在安全厂商举办的网络公益杀毒活动中,网友举报猫扑论坛被黑客挂马.超级巡警实验室(sucop.com)的反病毒工程师,经过简单分析证明了该网站确实包含挂马网页.点击该网页会自动 ...
最新文章
- java简单的面试题目_简单的面试题目,大跌眼镜的结果
- context:property-placeholder标签实现参数剥离
- c语言中static变量
- 数据结构-排序-分配类排序-知识点总结归纳3
- Vue.js 极简小例:表单 (输入框 input、文本域 textarea、单选框 radio、下拉菜单 selected、复选框 checkbox)
- 跳过微信内置浏览器缓存
- matplotlib 显示批量图片_matplotlib入门
- 美国特勤局发布十大网络通缉犯名单
- 【二叉树】美团的【天天领现金】活动,不就是 斐波那契 数列么?
- PS实战操作之蒙版、路径
- NSA互联网公开情报收集指南:迷宫中的秘密·下
- linux var mqm权限,MQ7.5通道权限问题
- python调用rarfile进行解压rar压缩包时,报了如下错误
- 输入一个数字n输出n以内的素数
- cad2010怎么隐藏标注尺寸,cad2007怎么隐藏标注尺寸
- Oracle Executable Binary Mismatch Detected
- 微信商户平台配置JSAPI支付目录,vue项目,好多坑呐
- 人脸识别技术发展及实用方案设计
- Excel如何快速插入图片?
- 滑动窗口与双指针的区别