网址被篡改怎么修复(网站被篡改详细处理方法
症状
网站首页被恶意篡改,如复制原图,PS,然后替换。
问题处理
1、确认篡改时间
通过查看篡改图片,确认图片篡改时间为2018年4月18日19:24:07。
通过图片修改时间节点发现可疑IP:113.xx.xx.24(代理IP,无法追查真实来源),访问image.jsp(脚本木马),然后访问篡改的图像地址。
进一步查看所有日志文件(日志从2017-04-20保存到2018-04-19),发现访问image.jsp文件只有两条记录,2018-04-18和2017 -09-21。
image.jsp在2017-09-21之前已经上传到网站服务器,已经隐藏了半年多甚至更长的时间。
3、找出真相
我们在网站根目录下找到答案,发现网站目录下有一个ROOT.rar全站源码备份文件。备份时间为2017-02-28 10:35。
通过解压ROOT.rar,发现源码中的脚本木马与网站访问日志的可疑文件名(image.jsp)一致。
基于这些时间节点,我们尝试还原攻击者的攻击路径。
但是我们在访问日志中没有找到ROOT.rar的访问和下载记录。访问日志只保留了将近一年的记录,而这可能已经存在很多年了。
黑客是如何得到它的?
可能是其中存在的木马信息是通过下载ROOT.rar全站源代码备份文件获得的,也可能是几年前入侵并隐藏多年,又或者外壳是从某某公司购买的地下黑产品,我们不得而知。
在本文的例子中,攻击者给我们留下了大量的证据和记录,而且更多的时候,攻击者可能会清除所有的关键信息,这势必会增加侦查人员取证的难度。
郑重声明:本文版权归原作者所有,转载文章仅出于传播更多信息之目的。如作者信息标注有误,请尽快联系我们修改或删除,谢谢。
