症状
网站首页被恶意篡改,如复制原图,PS,然后替换 。
问题处理
1、确认篡改时间
通过查看篡改图片,确认图片篡改时间为2018年4月18日19:24:07 。
文章插图
2、访问日志溯源
通过图片修改时间节点发现可疑IP:113.xx.xx.24(代理IP,无法追查真实来源),访问image.jsp(脚本木马),然后访问篡改的图像地址 。
文章插图
文章插图
进一步查看所有日志文件(日志从2017-04-20保存到2018-04-19),发现访问image.jsp文件只有两条记录,2018-04-18和2017 -09-21 。
文章插图
image.jsp在2017-09-21之前已经上传到网站服务器,已经隐藏了半年多甚至更长的时间 。
3、找出真相
我们在网站根目录下找到答案,发现网站目录下有一个ROOT.rar全站源码备份文件 。备份时间为2017-02-28 10:35 。
文章插图
通过解压ROOT.rar,发现源码中的脚本木马与网站访问日志的可疑文件名(image.jsp)一致 。
文章插图
文章插图
基于这些时间节点,我们尝试还原攻击者的攻击路径 。
但是我们在访问日志中没有找到ROOT.rar的访问和下载记录 。访问日志只保留了将近一年的记录,而这可能已经存在很多年了 。
黑客是如何得到它的?
可能是其中存在的木马信息是通过下载ROOT.rar全站源代码备份文件获得的,也可能是几年前入侵并隐藏多年,又或者外壳是从某某公司购买的地下黑产品,我们不得而知 。
在本文的例子中,攻击者给我们留下了大量的证据和记录,而且更多的时候,攻击者可能会清除所有的关键信息,这势必会增加侦查人员取证的难度 。
【网址被篡改怎么修复(网站被篡改详细处理方法】郑重声明:本文版权归原作者所有,转载文章仅出于传播更多信息之目的 。如作者信息标注有误,请尽快联系我们修改或删除,谢谢 。
- 六朝短命南京被秦始皇"斩断地脉断了龙气"
- 世界名犬排行榜?世界名犬前十名
- 洞螈被误传为是真龙幼崽,真实洞螈却与真龙相差甚远
- 银行贷款利息怎么算?小心别被坑了
- 催眠是真的吗?其实,你被骗很多年了
- 妖怪觊觎许久的唐僧肉,居然被一个人类给吃了
- 口罩被呼出的气打湿还有用吗 冬天口罩里有水怎么办
- 其他的只能等死了 世界五大绝症,唯有白血病可能被治愈
- 世界十大被攻克的疾病,艾滋病已不再成为死刑宣判
- 曾被当做变态 中国变性第一人张克莎,变女人后超美