@瞌睡虫
2年前 提问
1个回答

网页是否被篡改该如何排查

GQQQy
2年前
官方采纳
  1. 初步预判

    网页篡改事件区别于其他安全事件的明显特点是:打开网页后会看到明显异常。

    • 业务系统某部分网页出现异常字词网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法App推广内容等。2019 年 4月,某网站遭遇网页篡改,首页产生大量带有赌博宣传的黑链。

    • 网站出现异常图片、标语等网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等。例如,政治攻击者为了宣泄不满,在网页上添加反动标语来进行宣示;还有一些攻击者为了炫耀技术,留下“Hack by 某某”字眼或相关标语。

  2. 系统排查

    网页被恶意篡改是需要相应权限才能执行的,而获取权限主要有三种方法:一是通过非法途径购买已经泄露的相应权限的服务器账号;二是使用恶意程序进行暴力破坏,从而修改网页;三是入侵网站服务器,进而获取操作权限。应对网页篡改事件进行的系统排查如下。

    • 异常端口、进程排查初步预判为网页篡改攻击后,为了防止恶意程序定时控制和检测网页内容,需要及时发现并停止可疑进程,具体步骤如下。

    • 检查端口连接情况,判断是否有远程连接、可疑连接。

    • 查看可疑的进程及其子进程。重点关注没有签名验证信息的进程,没有描述信息的进程,进程的属主、路径是否合法,以及CPU或内存资源长期占用过高的进程。

    • 可疑文件排查发现可疑进程后,通过进程查询恶意程序。多数的网页篡改是利用漏洞上传Webshell文件获取权限的,因此也可以使用D盾工具进行扫描。若发现Webshell文件,则可以继续对Webshell进行排查。

    • 可疑账号排查攻击者为了实现长期对网站的控制,多数会获取账号或建立账号。因此,我们可以对网站服务器账号进行重点查看,一方面是查看服务器是否有弱密码,远程管理端口是否对公网开放,从而防止攻击者获取密码,控制原有系统账号;另一方面是查看服务器是否存在新增、隐藏账号。

    • 确认篡改时间为了方便后续的日志分析,此时需要确认网页篡改的具体时间。可以查看被篡改服务器的日志文件access.log,确认文件篡改大致时间。

  3. 日志排查

    • 排查Windows日志。

    • 排查Linux日志。

    • 排查数据库日志。

  4. 清除加固

    • 对被篡改网页进行下线处理。根据网页被篡改的内容及影响程度,有针对性地进行处置,如果影响程度不大,篡改内容不多,那么可先将相关网页进行下线处理,其他网页正常运行,然后对篡改内容进行删除恢复;如果篡改网页带来的影响较大,被篡改的内容较多,那么建议先对整个网站进行下线处理,同时挂出网站维护的公告。

    • 如果被篡改的内容较少,那么可以手动进行修改恢复;如果被篡改的内容较多,那么建议使用网站定期备份的数据进行恢复。当然,如果网站有较新的备份数据,那么无论篡改内容是多是少,推荐进行网站覆盖恢复操作(覆盖前对被篡改网站文件进行备份,以备后续使用),避免有未发现的篡改数据。

    • 如果网站没有定时备份,那么就只能在一些旧的数据的基础上,手动进行修改、完善。因此,对网站进行每日异地备份,是必不可少的。

    • 备份和删除全部发现的后门,完成止损。

    • 通过在access.log中搜索可疑IP地址的操作记录,可判断入侵方法,修复漏洞。