网址被篡改怎么修复（网站被篡改详细处理方法

症状
网站首页被恶意篡改，如复制原图，PS，然后替换。
问题处理
1、确认篡改时间
通过查看篡改图片，确认图片篡改时间为2018年4月18日19:24:07 。

文章插图
2、访问日志溯源
通过图片修改时间节点发现可疑IP：113.xx.xx.24（代理IP，无法追查真实来源），访问image.jsp（脚本木马），然后访问篡改的图像地址。

文章插图

文章插图
进一步查看所有日志文件（日志从2017-04-20保存到2018-04-19)，发现访问image.jsp文件只有两条记录，2018-04-18和2017 -09-21 。

文章插图
image.jsp在2017-09-21之前已经上传到网站服务器，已经隐藏了半年多甚至更长的时间。
3、找出真相
我们在网站根目录下找到答案，发现网站目录下有一个ROOT.rar全站源码备份文件。备份时间为2017-02-28 10:35 。

文章插图
通过解压ROOT.rar，发现源码中的脚本木马与网站访问日志的可疑文件名（image.jsp）一致。

文章插图

文章插图
基于这些时间节点，我们尝试还原攻击者的攻击路径。
但是我们在访问日志中没有找到ROOT.rar的访问和下载记录。访问日志只保留了将近一年的记录，而这可能已经存在很多年了。
黑客是如何得到它的？
可能是其中存在的木马信息是通过下载ROOT.rar全站源代码备份文件获得的，也可能是几年前入侵并隐藏多年，又或者外壳是从某某公司购买的地下黑产品，我们不得而知。
在本文的例子中，攻击者给我们留下了大量的证据和记录，而且更多的时候，攻击者可能会清除所有的关键信息，这势必会增加侦查人员取证的难度。
【网址被篡改怎么修复（网站被篡改详细处理方法】郑重声明：本文版权归原作者所有，转载文章仅出于传播更多信息之目的。如作者信息标注有误，请尽快联系我们修改或删除，谢谢。