網(wǎng)頁篡改簡(jiǎn)介
? 網(wǎng)頁篡改邓夕,即攻擊者故意篡改網(wǎng)絡(luò)上傳送的文件,通常以入侵系統(tǒng)并篡改數(shù)據(jù)祝沸、劫持網(wǎng)絡(luò)連接或插入數(shù)據(jù)等形式進(jìn)行
? 網(wǎng)頁篡改一般有兩種:顯式和隱式。顯式網(wǎng)頁篡改指攻擊者為炫耀自己的技術(shù)技巧,或表名自己的觀點(diǎn)實(shí)施的網(wǎng)頁篡改美尸;隱式網(wǎng)頁篡改一般是在網(wǎng)頁中植入色情冤议、詐騙等非法鏈接,再通過灰色师坎、黑色產(chǎn)業(yè)牟取非法經(jīng)濟(jì)利益
? 攻擊者為了篡改網(wǎng)頁恕酸,一般需要提前找到并利用網(wǎng)站漏洞,在網(wǎng)頁中植入后門胯陋,并最終獲取網(wǎng)站控制權(quán)
網(wǎng)頁篡改——模擬攻擊
? 正常的公司首頁
? 經(jīng)過掃描發(fā)現(xiàn)目錄下存在文件上傳:upload.php蕊温,并且可以上傳木馬程序
1、發(fā)現(xiàn)公司網(wǎng)站存在文件上傳的頁面遏乔,嘗試上傳 webshell 可以成功
2义矛、使用蟻劍連接 webshell 成功
3、在蟻劍中按灶,修改公司首頁的代碼症革,在index.html中插入js代碼,在頁面中插入暗鏈
<script type="text/javascript">
????var search=document.referrer;
????if(search.indexOf("baidu")>0||search.indexOf("bing")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("sogou")>0)
????self.location="http://www.4399.com/";
</script>
? 在頁面中插入暗鏈后鸯旁,只要 referer 中存在 baidu噪矛、google、sogou等的都會(huì)轉(zhuǎn)到
www.4399.com 頁面
? 也就是在以上這些搜索引擎中搜索到該站點(diǎn)铺罢,點(diǎn)擊后艇挨,就自動(dòng)會(huì)跳轉(zhuǎn)到另一個(gè)站點(diǎn)
應(yīng)急響應(yīng)——事件處置
1、服務(wù)器可疑進(jìn)程分析
? 使用 PCHunter韭赘、Procexp64 等工具對(duì)進(jìn)程缩滨、服務(wù)、啟動(dòng)項(xiàng)泉瞻、任務(wù)計(jì)劃進(jìn)行分析脉漏,未發(fā)現(xiàn)可疑進(jìn)程
2、網(wǎng)站后門木馬查殺
? 通過對(duì)網(wǎng)站目錄進(jìn)行后門木馬查殺袖牙,發(fā)現(xiàn)網(wǎng)站目錄下存在一句話木馬文件侧巨,名為
default.php,上傳時(shí)間為xxx (工具 D盾鞭达、河馬等)
3司忱、可疑用戶分析
? 經(jīng)過查看后,發(fā)現(xiàn)服務(wù)器存在隱藏用戶 test$
? 通過計(jì)算機(jī)管理或者注冊(cè)表中查看隱藏用戶
4畴蹭、日志分析
? 查看 Apache 相關(guān)日志坦仍,查看是否有異常訪問的日志
5、結(jié)論
? 公司首頁被植入暗鏈
? 攻擊者疑似通過文件上傳漏洞叨襟,上傳木馬程序繁扎,然后在首頁源碼中插入暗鏈,使得用戶從各大搜索引擎進(jìn)入首頁的時(shí)候芹啥,跳轉(zhuǎn)到另一個(gè)站點(diǎn)
應(yīng)急響應(yīng)——根除與恢復(fù)
1锻离、刪除暗鏈代碼铺峭,如果網(wǎng)站源碼有備份的話,直接從備份中還原
2汽纠、刪除可疑目錄下的webshell卫键,刪除 default.php文件,全盤查殺病毒以及 webshell
3虱朵、刪除隱藏用戶莉炉、修改主機(jī)用戶密碼、數(shù)據(jù)庫(kù)密碼碴犬、網(wǎng)站后臺(tái)密碼等
4絮宁、進(jìn)行滲透測(cè)試,查找系統(tǒng)漏洞服协,修補(bǔ)漏洞
