網(wǎng)頁(yè)篡改

網(wǎng)頁(yè)篡改也有以下三個(gè)情況分類(lèi)

常規(guī)作死型，直接替換主頁(yè)文件，可能是某些黑客的惡作劇之類(lèi)。

黑產(chǎn)相關(guān)，訪(fǎng)問(wèn)網(wǎng)頁(yè)跳轉(zhuǎn)到菠菜網(wǎng)站，這類(lèi)一般都是利用腳本批量的掃然后自動(dòng)化的修改某些文件內(nèi)容，將訪(fǎng)問(wèn)重定向到目標(biāo)菠菜網(wǎng)站。

除了直接跳轉(zhuǎn)之外還有一種是網(wǎng)站正常訪(fǎng)問(wèn)，但是通過(guò)百度等搜索引擎搜索時(shí)候看到一些文章內(nèi)容被替換了。

前兩種，訪(fǎng)問(wèn)主頁(yè)打開(kāi)發(fā)現(xiàn)是黑頁(yè)或菠菜網(wǎng)站的，需要我們先排查一下頁(yè)面是否為DNS劫持影響，這一步簡(jiǎn)單的ping命令就能幫助我們完成

如果域名解析的IP地址沒(méi)有問(wèn)題，確實(shí)是客戶(hù)IP地址資產(chǎn)（PS：如果遇到是CDN情況，那么看該CDN是不是用戶(hù)自己的），不考慮CDN也被入侵的情況，基本能確認(rèn)是網(wǎng)頁(yè)確實(shí)是被篡改了。

針對(duì)此類(lèi)型事件處理方案應(yīng)該優(yōu)先給用戶(hù)斷個(gè)網(wǎng)，至少先斷開(kāi)對(duì)外的映射，然后再本地使用D盾進(jìn)行webshell查殺，對(duì)確認(rèn)的木馬進(jìn)行刪除操作（這一步先和網(wǎng)站管理溝通確認(rèn)下，避免誤刪）

之后對(duì)查看web日志，通過(guò)被修改頁(yè)面的修改時(shí)間，如2017-12-20 15:53這一時(shí)間段內(nèi)（可以先從前后一周的范圍開(kāi)始篩查）的可疑訪(fǎng)問(wèn)進(jìn)行篩選，結(jié)合掃描到的木馬特征名稱(chēng)，如test.php這樣的文件名特征，綜合判斷后確認(rèn)攻擊IP，然后根據(jù)攻擊IP的訪(fǎng)問(wèn)記錄推斷出可能存在漏洞的文件，并進(jìn)行代碼分析和修復(fù)。

之后處理完對(duì)網(wǎng)站進(jìn)行恢復(fù)備份即可。

另外某些情況下，可能用戶(hù)并沒(méi)有備份文件，此時(shí)建議使用seay源代碼審計(jì)工具來(lái)對(duì)網(wǎng)站源碼關(guān)鍵字進(jìn)行搜索，關(guān)鍵字可以為referer、各個(gè)搜索引擎的ua以及對(duì)應(yīng)的菠菜網(wǎng)站的域名，當(dāng)然有可能會(huì)遇到內(nèi)容加密的情況，此時(shí)的處理方式只能是根據(jù)文件修改時(shí)間來(lái)對(duì)近期改動(dòng)過(guò)的文件進(jìn)行排查。