網(wǎng)頁掛馬

網(wǎng)頁掛馬事件即黑客在入侵網(wǎng)站后留下木馬后門，一般都是通過安全產(chǎn)品或是某些安全公司監(jiān)測到木馬后郵件通知相關(guān)管理員后需要應(yīng)急處置。

木馬處理方式與篡改事件一樣，D盾一把梭，然后對日志進行分析，通過木馬名特征進行篩查，分析入侵過程。

同樣也可能遇到不存在日志的問題，此時需要先了解分析目標環(huán)境，從網(wǎng)站管理人員處獲取必要的信息，如操作系統(tǒng)版本，對外映射的端口，網(wǎng)站中間件類型，網(wǎng)站是否二次開發(fā)，使用了哪款CMS，考慮到最近fastjson的rce也越來越多，需要了解網(wǎng)站使用的開發(fā)語言和版本信息等，由此來逆向推斷出網(wǎng)站可能存在漏洞，如了解到網(wǎng)站使用了weblogic 10.3.6，想到weblogic持續(xù)為安全界貢獻的漏洞，那么這很可能就是問題所在，基于此推斷我們可以使用相關(guān)工具進行驗證。

如結(jié)果存在漏洞，則認為很可能是該問題導致的網(wǎng)站掛馬。

無論網(wǎng)頁篡改還是掛馬，后續(xù)的防護都建議定期做好安全評估工作。