现象描述
网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。
问题处理
1、确认篡改时间
通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 。
2、访问日志溯源
通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 ( *** IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址。
进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。
image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间。
3、寻找真相
我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35。
通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp)。
根据这几个时间节点,我们尝试去还原攻击者的攻击路径。
但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。
黑客是如何获取webshell的呢?
可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。
本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度。
随着DNF这个游戏的发展,也让无数的游戏补丁出现在了大家的视线中,但是这些补丁应该怎么用,并且不想用的时候如何清除掉呢?让我来给大家支个招! 补丁的添加方法: 第一步:打开DNF根目录下的一个...
移动wifi可以让我们随时随地都有网络覆盖,在这个信息网络化的时代里是非常方便的,下面我们来说说移动随身wifi的使用方法。 移动随身wifi、流量卡(也可以是电话卡)。 01 购买移动随身wi...
5555555~老师让温习 夜半一点钟 条记落在学校了 书上的不足具体 荧光阐明仪 它的界说怎么说通顺,。 电余则成原型流磁效应界说 界说 电流的磁效玉蒲团极乐应(通电会发生磁):奥斯特发明:...
在现实中,很多人会问:商标能自己申请吗?又是怎么申请的呢? 小编在此回答下这个问题。 首先,商标是可以自己申请的。商标申请注册有两种形式:第一种是自己亲自到商标局注册大厅(北京)办理;第...
今天,武汉火神山医院正式接诊!1400名医护人员,1000张床位,为更多患者带去生的希望,为中国“战疫”胜利增添更多信心。 一条短短的时间轴,记录着这座医院如何在举世瞩目中生长拔节—— ·1月23...
鉴于国内不能上谷歌,所以很多人想要注册谷歌非常不方便。下面就教大家一个非常简单的方法 第一步,用手机下载“QQ邮箱” 在移动网络下【特别重要:必须关掉WiFi】打开QQ邮箱,如图: 第二步,...