现象描述
网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。
问题处理
1、确认篡改时间
通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 。
2、访问日志溯源
通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 ( *** IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被篡改的图片地址。
进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。
image.jsp在2017-09-21之前就已经上传到网站服务器,已经潜藏长达半年多甚至更久的时间。
3、寻找真相
我们在网站根目录找到了答案,发现站点目录下存在ROOT.rar全站源码备份文件,备份时间为2017-02-28 10:35。
通过对ROOT.rar解压缩,发现源码中存在的脚本木马与网站访问日志的可疑文件名一致(image.jsp)。
根据这几个时间节点,我们尝试去还原攻击者的攻击路径。
但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。
黑客是如何获取webshell的呢?
可能是通过下载ROOT.rar全站源码备份文件获取到其中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。
本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会清除所有的关键信息,这势必会加大调查人员的取证难度。
联想表示,本次召回范围内的笔记本电脑电池,在长期使用情况下,可能发生电池内部短路,极端情况下可能引发起火,存在安全隐患。 自2018年8月31日起,用户可登录联想官网页面进行校验,以确认自己使用的电...
有时候我们会遇到电脑只能接网线上网的情况,如在单位上班,木有WiFi。这时候如果你还想自己的手机能用WiFi该怎么办呢?“电脑那些事儿”的小编教一教大家,如何用自己的电脑给手机开WiFi热点!...
王者荣耀安卓账号可以转苹果吗?王者荣耀安卓苹果什么时候能互通?王者荣耀ios转移号怎么弄?不少玩家都想知道王者荣耀ios转移号方法。话不多说,下面,就随琵琶网小编来了解一下吧! 王者荣耀安卓账号...
当下载大型文件时,很多用户都不喜欢使用浏览器自带的下载器,因为需要开着浏览器,还不如使用迅雷下载来的方便,那么如何设置迅雷为默认下载工具呢?下面就给大家分享将迅雷作为默认下载工具的方法 将迅雷作为默...
原本以为爆发了疫情,人们绝大部分时间都是留在家中,外出探亲、聚会的情况减少了许多,因而消化不良、暴饮暴食的情况也会随之有所减少,但其实不然,即便困在家中,也阻挡不住人们对美食、零食的喜爱,但很多人过后...
在我们如今的生活中有很多人的生活水平还是没有多大的变化,虽然说职场的工资水平有所上涨,但是我相信很多人都还是希望能够通过自己的努力进行创业,在自己的人生中做出一番成就能够尽可能的实现自己的人生价值,那...