网址被篡改怎么修复(网站被篡改详细处理 ***

访客56年前黑客工具914

现象描述

网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。

问题处理

1、确认篡改时间

通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

2、访问日志溯源

通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 ( *** IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间。

3、寻找真相

我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp)。

网站首页被黑客篡改,查看备份文件中内容,根据时间点来排查

根据这几个时间节点,我们尝试去还原攻击者的攻击路径。

但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。

黑客是如何获取webshell的呢?

可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。

本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度。

相关文章

七旬老汉拥吻时金项链被偷走怎么回事 详细经过曝光令人愤怒

前不久,启东一位70岁的老大爷戴着一条大金项链外出散步,遇到40岁的女子姚某不断献殷勤,两人发展成为恋人。有次在公园长椅上拥吻时,姚某将双手搭扣在老大爷的脖颈后侧拿走金项链。大爷回到家洗澡时,发现项链...

消防员张伟杰生前最后画面曝光 张伟杰是怎么牺牲的详细经过

11月25日,福建福州一民房失火,近50名消防员赶赴现场扑救。消防员在搜救被困群众时,起火建筑突然发生坍塌。被困群众和消防员张伟杰被压。支队立即组织营救,救出被困群众和张伟杰。医院全力抢救无效,张伟杰...

修眉毛最新方法(附详细步骤)三分钟变成美妆

修眉毛最新方法(附详细步骤)三分钟变成美妆

眉毛画好了 不仅改善脸型还能提升气质 ▼ 可是眉毛简直 为难死了各种手残星人 有时手一抖还会涂出毛毛虫眉 那么 怎么才能轻松画对眉? 修眉-画眉-眉妆必备神器 小芽一...

win7怎么破解开机密码(详细图文教程破解开机密

win7怎么破解开机密码(详细图文教程破解开机密

方法一 在开机时按下F8进入“带命令提示符的安全”模式 输入“NET USER+用户名+123456/ADD” 可把某用户的密码强行设置为”123456 方法二 1.在计算机启动时按(F...

腾达路由器怎么设置wifi密码?详细的设置步骤,

腾达路由器怎么设置wifi密码?详细的设置步骤,

第一步:正确连接网线 电脑可以通过网线连接至路由器,如果是笔记本也可通过无线连接至路由器,如下: 有线连接: 无线连接:路由器出厂无线名称是Tenda_MAC地址后6位,出厂没有无线密码;...

奔驰婚车失控姐弟俩被撞身亡怎么回事?事故详细经过曝光令人悲痛

7月18日,网曝湖北襄阳一接亲车进入小区大门时突然失控,加速后撞倒正在路边玩耍的两个孩子,两个孩子被撞后当场死亡。据当地居委会介绍,被撞的两个孩子是姐弟俩,肇事司机被警方当场控制。爆料人称,新娘新郎下...