网址被篡改怎么修复(网站被篡改详细处理 ***

访客56年前黑客工具906

现象描述

网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。

问题处理

1、确认篡改时间

通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

2、访问日志溯源

通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 ( *** IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间。

3、寻找真相

我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp)。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

根据这几个时间节点,我们尝试去还原攻击者的攻击路径。

但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。

黑客是如何获取webshell的呢?

可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。

本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度。

相关文章

怎么让头发长得快?快速生发的8个方法,总有一

怎么让头发长得快?快速生发的8个方法,总有一

冷风阵阵的冬天十分想念一头长发为脖子保暖的时刻!然而,你也正在面对「头发长得很慢且怎么留都留不长」的困扰吗?编辑深知头发留不长之苦,所以帮你整理了以下几条生发重点,只要贯彻落实,你会发现头发在90天内...

微商怎么找客源加粉丝的方法(一天爆粉500)

微商怎么找客源加粉丝的方法(一天爆粉500)

其实傻子都知道,做微商客源是命脉,因此,引流吸粉是一门很深刻的学问,对于一些宝妈而言,想趁着带孩子的闲暇时间,赚点零花钱,这并无不可,很多人便选择了自己的私人微信开始了自己的微商,直到最后透支完自己那...

淘宝网店怎么开?淘宝开店的详细步骤(2018最新

淘宝网店怎么开?淘宝开店的详细步骤(2018最新

如何开淘宝网店步骤与流程?最新详细教程教你怎么开 最近和朋友出去吃饭聊天,大多数都在谈论淘宝。也有不少朋友想在淘宝开网店作为自己的第二职业,但是搜遍网上也没发现一个比较详细的开店教程。到底应该如何申请...

新站做SEO优化的方法

新站做SEO优化的方法

我们在做新站的时候,往往会遇到没有收录、没有排名等问题,大部分的SEOER会因为没有在理想的时间里有收录和排名而丧失信心导致丢弃自己辛苦做的站,其实在早期我做SEO优化也是这样,我做的优化站不低于5个...

微信聊天记录怎么回复(教你两个恢复方法!附详

微信聊天记录怎么回复(教你两个恢复方法!附详

我们在日常生活中总会收到各种各样的信息,有些垃圾信息实在太多我们一般都会删掉,但是要是不小心删除了一些重要的信息,我们该怎么办呢?别急,小编今天就来告诉大家几个如何恢复微信聊天记录的方法!十分简单!三...

网络上赚钱的方法(一天挣300-500的方法)

网络上赚钱的方法(一天挣300-500的方法)

只是如何推广,如何变现,其实对我来讲很简单,我告诉大家推广的地方,在社交媒体,自媒体,微信微博QQ空间豆瓣天涯,QQ部落,知乎贴吧朋友圈竞价,智慧推腾讯课堂网易课堂快手直播,火山小视频,今日头条,...