【应急基础】————4、网站页面被篡改应急

最新推荐文章于 2025-10-16 14:09:44 发布
转载 最新推荐文章于 2025-10-16 14:09:44 发布 · 1.7k 阅读 · 3

本文提供了一套详细的步骤来应对网站遭受黑客攻击的情况,包括查找并恢复被篡改页面,定位后门文件,分析入侵途径,修复系统漏洞,旨在帮助网站管理员快速止损并加强网站安全性。

      1)找到被篡改页面,stat文件记录更改时间及用户等信息

       2)将被篡改页面拷贝至其他非web目录,恢复正常页面

       3)查看页面被篡改时间的accesslog,找出后门文件及操作ip(可能有多个ip访问后门,需要全部记录,重点记录第一个访问ip)

       4)stat后门文件记录时间及操作用户等信息,备份文件至非web目录后删除

       5)查找其余后门文件,可以使用webshell查杀(如:http://www.d99net.net/down/WebShellKill_V2.0.8.zip ),之前记录ip的所有请求记录,通过时间查找(如find /home/work –mtime -1 –type f 查找/home/work目录下一天内mtime变更过的文件),通过后门特征字符串查找(如find /|xargs grep -ri "Bot1234" -l 2>/dev/null 查找根目录下所有包含Bot1234字符串的文件)

       6)备份和删除全部发现的后门,完成止损

       7)通过在accesslog里面搜索可疑ip操作记录判断入侵方式

       8)修复漏洞

       9)根据篡改后页面特征查找是否存在其他被篡改页面(命令可参考5中提到的)并恢复
 

应急响应——勒索病毒风险处置
admin的博客
05-17 387
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office文档、图片等文件,对这些文件进行格式篡改和加密。其中,通过漏洞发起的攻击占攻击总数的绝大部分,因为老旧系统(如win7、xp等)存在大量无法及时修复的漏洞,容易被病毒利用。这种病毒主要以邮件、程序木马、网页挂马的形式进行传播,并利用各种加密算法对文件进行加密,使得被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
网页篡改事件应急案例
m0_74079109的博客
11-04 1286
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible;应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。图 5.29 web 日志。
应急响应-网页篡改-典型处置案例
qq_50765147的博客
05-29 1948
该系统部署phpstudy存在后门,以及采用某开源CMS,致使攻击者可以入侵服务器,且一旦入侵即为Administrators组权限。攻击者上传Webshell的时间分别为2019年9月13日和2019年11月6日。2019年11月6日上传Webshell的行为有可能是利用2019年9月20日爆出的phpstudy存在后门这一漏洞入侵的。攻击者上传Webshell后,在2019年10月28日创建隐藏用户tx$,企图通过该用户对服务器进行长久控制。
关于网站篡改应急演练剧本编写(模拟真实场景)
最新发布
sudamasami的博客
10-16 394
本文介绍了网络安全应急演练中模拟真实场景的实施方案。主要内容包括:1)使用HTTrackWebsiteCopier工具完整复制目标网站,解决简单保存造成的资源缺失问题;2)通过phpstudy搭建模拟环境,利用phpmyadmin漏洞植入webshell;3)提供详细的网站篡改代码模板,包含黑客入侵警告、倒计时威胁等逼真效果;4)建议演练流程:上传webshell→篡改首页→触发告警→启动应急响应。文章强调通过技术手段和场景设计,使演练尽可能接近真实攻击情况,提升应急响应能力。
网站篡改演练方案(演练方案).pdf
09-27
网站篡改演练方案(演练方案).pdf
Web应急网站首页被篡改
06-10 706
网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。 问题处理 1、确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:...
应急响应-网页篡改-技术操作只指南
qq_50765147的博客
05-28 1562
初步判断 网页篡改事件区别于其他安全事件地明显特点是:打开网页后会看到明显异常。 业务系统某部分出现异常字词 网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法APP推广内容等。2019年4月,某网站遭遇网页篡改,首页产生大量带有赌博宣传地黑链,如图所示。 网站出现异常图片、标语等 网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等。例如,政治攻击者为了宣泄不满,在网页上添加反动标语来进行宣示;还有一些攻击者为了炫耀技术,留下“Hack by 某某
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系优快云管理员删除即可
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdate、networkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系优快云管理员删除即可
一次真实的应急响应案例——篡改页面、挖矿(sysupdate、networkservice)(含靶场环境)
W小哥
03-03 1万+
一、事件描述: 某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。 二、应急响应过程 2.1 查找植入暗链的代码 通过运维人员提供的信息:“通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题”,可以判断出,网站首页已经被植入了暗链,那么可以先查看网站首页 index.jsp文
网站首页被直接篡改应急处置
千寻的博客
03-23 1375
文章目录事件现象网站信息排查过程排查日志排查IIS结论分析摘抄 事件现象 接到用户反馈,网站首页被篡改,需要进行应急响应 网站信息 该网站服务器为Windows2003系统,中间件为ISS6.0,网站语言为ASP 排查过程 基于网站的系统信息,初步判断网站存在较为严重的漏洞 登录服务器,查看webshell和篡改的信息 查看账户信息,发现hack1添加多个管理员账户 排查日志 查看IIS日志,根据时间线,理清晰攻击过程日志 排查IIS 查看IIS配置的写入、目录浏览等危险操作的权限设置 结论分析 攻击者通过
精品资料(2021-2022年收藏)网站篡改演练方案演练方案课件资料.doc
10-11
精品资料(2021-2022年收藏)
网页防篡改技术的实现
07-19
本文介绍了一般网页防篡改的技术,并且讲解一般的加密算法,检测算法等
网络与信息安全事件应急预案(6).doc
07-14
网络与信息安全事件应急预案 1 总则 为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实 际,制定本预案。 1.1 编制依据 《中华人民共和国突发事件应对法》、《北京市实施<中华人民共和国突发事件应对法 >办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国 家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事 件分类分级指 南》等相关规定。 1.2 事件分类分级 1.2.1 事件分类 网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容 安全事件、设备设施故障和灾害性事件等。 (1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件 、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。 (2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描 窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。 (3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件 、信息丢失事件和其他信息破坏事件。 (4)信息内容安全事件是指通过
网站应急预案-网站安全方案
04-23
了切实做好网络与信息安全突发事件的防范和应急处理工作,进一步提高我公司预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,保证网络的正常运行,结合公司实际,制定本预案
网络安全应急响应----8、网页篡改应急响应
热门推荐
七天
03-22 1万+
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改的网页2.2、针对未被篡改的网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4恢复数据和业务四、网页篡改防御方法 一、网页篡改简介 网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行
应急响应-网页篡改-常规处置
qq_50765147的博客
05-08 827
在进行网页篡改应急响应时,通常需要由应急响应工程师借助安全设备、工具,在配合手动操作才能彻底清除黑链。当发现网页篡改时,可以使用以下处置方法。
公司网络遭到网页被篡改应急预案(技术层面重点)
A240944607的博客
03-18 1306
1.1 目的为有效应对公司网络遭到网页被篡改的安全事件,从技术层面快速定位攻击原因、恢复业务、溯源攻击来源,并采取防护措施防止类似事件再次发生,特制定本预案。1.2 适用范围本预案适用于公司内部网络、对外网站、内部系统等网页被恶意篡改的安全事件的应急处置工作,重点涵盖技术层面的响应与恢复。1.3 基本原则快速定位:通过技术手段快速确定攻击原因和受影响范围。业务优先:优先恢复业务系统,确保业务连续性。溯源分析:通过日志分析、流量监控等技术手段追踪攻击来源。
网站页面篡改及挂马的应急处置
千寻的博客
03-23 7730
文章目录排查思路常见技术手段直接篡改页面iframe框架篡改JS 文件篡改其他篡改处置过程事件描述处置过程简述摘抄 排查思路 排查篡改页面。 排查是否有Webshell。 排查是否存在操作系统级木马。 排查网站存在的漏洞及黑客的攻击路径。 进行综合分析及溯源。 常见技术手段 直接篡改页面 直接篡改页面是比较简单的一种方式,常见的是篡改首页或二级页面,包括直接进行替换、篡改图片、篡改内容等。 这类事件在应急响应中,这种方式相对比较简单,可以直接发现。 iframe框架篡改 使用HTML语句“” (
Linux系统中的高效应急响应工具——whohk
在发现关键文件被篡改时,重要文件检查模块将帮助管理员确认篡改情况,并给出恢复建议。最后,预设的响应策略模块为管理员提供了多种应对方案,从而在保证系统安全的前提下,减少事件的负面影响。 5. whohk的未来...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值