现象描述
网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去 。
问题处理
1、确认篡改时间
通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07。
文章插图
2、访问日志溯源
通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址 。
文章插图
进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21 。
文章插图
image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间 。
3、寻找真相
我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35 。
文章插图
通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp) 。
文章插图
根据这几个时间节点,我们尝试去还原攻击者的攻击路径 。
但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年 。
黑客是如何获取webshell的呢?
可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知 。
【网址被篡改怎么修复(网站被篡改详细处理方法】本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度 。
- 网站防劫持怎么解决(教你如何巧妙避免网站被
- 车企用户福利积分被当“羊毛”转卖:月入十万成本几乎为零
- 人们常称那些不被重视的人为坐冷板凳,“冷板凳”来源于哪个行当?
- 9月16日蚂蚁庄园今日答题答案:听诊器最初被发明出来是为了?
- 听诊器最初被发明出来是为了?蚂蚁庄园2020年9月16日答案
- 皮肤晒黑后怎样变白 知道这些让你不怕被晒
- 范仲淹被称为什么
- 视频|B站上线首个付费视频被吐槽“血亏” UP主回应
- 听诊器最初被发明出来是为了什么?蚂蚁庄园9月16日答案正确答案
- 晒好的被子如果落了灰尘最好怎么做?蚂蚁庄园9.15今日答案正确答案