记录一次网站疑似被劫持的排查

原创 已于 2024-08-02 16:49:42 修改 · 832 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #前端

于 2024-08-02 16:48:52 首次发布

 场景:早上的时候发现广州地区不能正常访问官网,其他地区访问网站时正常的。请网信安同事排查是否封堵了广州地区,发现并没有封堵现象。其他同事建议做如下排查,并建议上线CDN,在CDN段做配置,避免网站被劫持。

1、DNS查询:‌使用命令行工具或在线工具进行DNS查询,‌检查域名解析是否正常。‌如果域名解析结果与预期不符,‌可能存在域名劫持的情况。‌
2、WHOIS查询:‌使用WHOIS查询工具输入域名进行查询,‌查看域名的注册信息和状态。‌如果域名的注册信息发生了变化或者状态异常,‌可能是被劫持了。‌
3、网络流量监测:‌使用网络流量监测工具,‌检查域名的网络流量是否正常。‌如果发现异常的流量或者重定向行为,‌可能存在域名劫持的情况。‌
4、安全扫描工具:‌使用安全扫描工具对网站进行扫描,‌检测是否存在恶意代码或者异常行为。‌如果扫描结果显示存在恶意代码或者异常行为,‌可能是被劫持了。‌
5、反向IP查询:‌使用反向IP查询工具,‌查询域名所在的IP地址是否正常。‌如果IP地址与预期不符,‌可能存在域名劫持的情况。‌

运维必杀技:Wireshark实战排查网络故障
大模型大数据攻城狮的专栏
07-01 817
Tshark 是 Wireshark 提供的命令行版本,拥有几乎全部的解码能力,支持各种输出格式、强大的字段提取、实时分析,还能无头运行在脚本中,配合cron、systemd或CI流程都很方便。
应急响应——Linux入侵排查
negnegil的博客
09-16 9530
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统的
Ajax 实现网站劫持检测方法
10-19
https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?下面通过本文给大家介绍Ajax 实现网站劫持检测方法,需要的朋友可以参考下
怎么检查域名是否被劫持
恒创科技Henghost
05-27 1815
如果你怀疑自己的域名被劫持了,应立即采取措施解决这个问题,比如联系你的域名注册商、主机提供商或专业的网络安全专家进行帮助。同时,确保定期更新和维护你的域名和DNS设置,使用强密码,并启用双因素认证等安全措施来预防未来的域名劫持
如何判断网站是否被劫持
护卫神的博客
01-20 665
网站被劫持是一件令所有管理员都深恶痛绝的事,然而更让管理员难受是不知道网站什么时候已经被劫持了。下面根据护卫神多年安全防护经验,提供几种判断网站是否被劫持的方法,助你及时发现网站安全隐患。
解决ajax劫持,Ajax 实现网站劫持检测方法
weixin_31006689的博客
08-05 259
原标题:Ajax 实现网站劫持检测方法https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器中检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决被劫持的问题了。现在要做的就是得到 被植入的代码。找了一圈,没有找到检查的工具。网站传输到客户的浏览器,需要三个步骤:【1】服务器 -&g...
百度js 检测输入法_网站劫持监控,网站劫持监控工具的检测方法
weixin_39884100的博客
11-19 312
  前两天在网上发现了iis7网站监控,这个真的是一款非常好用的网站监控工具,亲自检测了一下自己的网站有没有异常。  下面我把我的检测结果分享给大家看一看:  1、进入iis7站长之家,然后到iis7网站监控页面,就输入了自己的网站域名:  2、这里我选择了中度检测进行检测:  3、点击了“提交检测”,然后跳出来检测统计数据:  4、想要查看详细的检测数据情况,点击右上角的“关掉统计”就行了:  ...
【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路
最新发布
solarset的博客
06-10 1937
在我们对5月份处理的各类勒索病毒入侵事件统计中,
应急响应---windows入侵排查
xianjie0318的博客
07-09 1185
1、windows入侵排查 windows常见的攻击 web入侵:木马 网页挂马 主页篡改 webshell 系统入侵:病毒木马 勒索软件 远控后门 网络攻击:DDOS攻击 DNS劫持 ARP欺骗 入侵排查思路 1、首先:检查系统账号安全 1)查看服务器是否存在弱口令账户 2)检查远程管理端口是否对公网开放 3)检查账户策略是否符合基准要求 检查方法:输入secpol.msc,进入安全设置-账户策略 密码策略、账户锁定策略 4)查看服务器是否存在可疑账户、新增账户、账户变更 方法:打开"运行"或cmd
接口逆向第一步:Chrome DevTools高级调试技巧一次性全部揭秘
[接口逆向第一步:Chrome DevTools高级调试技巧一次性全部揭秘](https://statics.cdn.200lab.io/2021/07/z2643142123451_487f139a60885a5705464ecee67dd177.jpg) # 摘要 本文系统探讨基于Chrome DevTools的接口...
APP劫持检测
07-06
HijackActivity.apk能用于检测APP是否可被劫持。再凑点字数
Windows 平台下局域网劫持测试工具 – EvilFoca
10-24
EvilFoca是Windows环境下基于.NET FrameWork的一款轻量级的劫持测试工具。与BackTrack和Kali_Linux下复杂的命令相比,EvilFoca更加小巧,轻便,简单,但其效果更加显著高效。
域名劫持工具
05-16
域名劫持工具测试可以使用 ,非常不错。 做网页指定访问某个页面的可以使用了。
网站劫持修复
11-06
IE非法劫持修复工具是一款可以帮助用户修复IE被非法劫持的工具,该工具可以修复多种类型的IE劫持,是一款非常实用的IE修复工具
网站被攻击了排查思路
weixin_46483815的博客
10-16 477
2.隐藏用户net user看不到,但是在控制面板、lusrmgr.msc、一般C:\Windows\Temp里面不会放.exe文件,放了大概率是病毒。4、网站被篡改,说明自己主机存在后门,需要寻找到对应的后门文件。2、本地查找网络目录里面对应的login.php文件。3、审计代码 ,找到对应代码然后删除。1.正常用户net user 能看到。a.可以查看网站目录文件修改时间。3.影子用户只有注册表中能看到。b.检查网站是否多了新文件。5、检查系统用户是否正常。c.控制面板检查隐藏用户。
网站劫持 网站(域名)被劫持怎么检测 遇到网站恶意跳转不要慌(干货)
jyhhh的博客
11-06 4314
首先,以开元浏览器安全检测为例,我们打开网站监控平台。 1、输入对方域名 2、提交检测,得到检测结果 网站在线检测地址:网站监控 3、经初步判断,该网站被劫持(部分节点显示最终打开网站的域名和网站标题已经被恶意篡改) 4、我们通过浏览器打开此网站,发现此网站最终恶意跳转至博彩页面。 5、网站安全问题防不胜防,还是得先打好预防针,随时检查。以下我提供24小时网站监控的使用办法: 5-1:点击监控后台—新增域名—保存 5-2:点击定时监控 5-3:定时监控设置(免费的每天只能设置两个时间)保存后就可
怎么判断网站是不是被劫持了?
SSL加密技术
07-13 1953
一、什么是http劫持网站劫持是指打开一个网址的时候,出现一个不属于网站范畴的广告,或者是跳转到某个不属于本站范畴的页面。 常见的具体表现,但不仅限于情形: 1)进行搜索时,无论搜索的搜索词是什么,搜索结果页都会展现【{WD}】、【${arg_wd}】的搜索结果; 2)搜索结果页面无限自动重复刷新,看不到搜索内容; 3)输入搜索词点击搜索后,自动跳转到搜狗搜索页面,或其他搜索引擎的结果; 4)输入带有空格的搜索词后,搜索结果页上的关键词中,“空格”变成了“+”号; 5)搜索结果页展示乱码;
网站被劫持的方式,和检测方法、网站被劫持怎么办
douya0012的博客
12-15 2435
网络劫持是通过浏览器劫持。   首先得明白什么是LSP。   LSP全称为Layered Service Provider ,中文名为分层服务提供程序。   LSP就是TCP/IP协议等的接口。   某些间谍软件会修改Winsock 2的设置,进行LSP劫持,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。   Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络
WEB安全:网站域名被劫持的原因分析和应对方法
iteye_10868的博客
04-06 1432
我们都知道在互联网上安全问题是一直存在的,比较常见的有DDO S攻击、域名劫持、木马控制主机、网页篡改、网络仿冒等,这这些当中域名劫持对于网站造成的影响和危害算是最大的。搜索引擎是我们日常进行网络信息检索的一个重要的工具,大家只需要输入关键词就可以检索到需要的信息了,这些信息其实都是搜索引擎对于网站的一个快照,而快照本身其实就存在安全问题,因此我们会发现有些网站的快照上面网站标题和描述其实和网站...
linux系统 命令劫持
03-11
### Linux系统中命令劫持的安全问题及解决方案 #### 一、命令劫持的风险分析 在Linux环境中,命令劫持是指攻击者通过某种方式使得合法用户执行恶意代码而非预期的正常命令。这种行为可能导致敏感数据泄露、权限提升甚至整个系统的控制权丢失。 当存在路径环境变量配置不当或者可写入目录位于$PATH前面时,就可能发生命令劫持现象[^1]。例如,在用户的shell会话启动过程中加载了不安全的脚本文件;又或者是由于某些应用程序允许外部修改其工作目录中的二进制文件而未做充分校验所引发的问题。 #### 二、预防措施与检测手段 为了防范此类威胁,建议采取以下策略: - **严格管理环境变量**:确保`/etc/environment`以及个人home目录下的`.bashrc`, `.profile`等初始化文件内的`PATH`设置合理,并且优先级较高的位置只包含受信任的位置。 - **定期审查已安装软件包及其来源**:利用工具如yum history来追踪历史变更记录并确认所有第三方库均来自官方仓库或经过验证可靠的渠道。 - **实施严格的访问控制政策**:遵循最小特权原则分配给不同角色必要的操作许可范围,特别是针对root账号更要谨慎对待任何授权请求[^3]。 - **启用审计功能监控异常活动**:借助auditd服务跟踪关键事件的发生情况,一旦发现可疑迹象立即展开调查处理[^4]。 另外还可以考虑部署入侵防御系统(IPS),它能够实时监测网络流量模式识别潜在危险信号从而阻止非法指令序列传播扩散。 ```bash # 查看当前环境变量定义 echo $PATH # 列出最近一次更新过的RPM包清单 dnf history list | tail -n 5 # 设置更严谨的身份认证机制 sudo pam_tally2 --user=<username> # 查询指定帐户失败尝试次数统计信息 ``` #### 三、应急响应计划 如果已经遭受了命令劫持攻击,则应迅速按照既定流程开展恢复作业: - 隔离受影响主机避免进一步损害扩大化; - 备份重要资料以防万一之后再着手清理残留痕迹; - 对疑似受损组件进行全面排查直至排除隐患为止; - 向上级主管部门汇报事故详情接受指导完成后续改进措施落实到位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值