文章目录
事件现象
- 事件现象
- 网站信息
- 排查过程
- 排查日志
- 排查IIS
- 结论分析
- 摘抄
接到用户反馈,网站首页被篡改,需要进行应急响应
该网站服务器为Windows2003系统,中间件为ISS6.0,网站语言为ASP
基于网站的系统信息,初步判断网站存在较为严重的漏洞 登录服务器,查看webshell和篡改的信息 查看账户信息,发现hack1添加多个管理员账户
查看IIS日志,根据时间线,理清晰攻击过程日志
查看IIS配置的写入、目录浏览等危险操作的权限设置
攻击者通过IIS的写权限漏洞,写入webshell,对页面进行篡改,同时利用webshell进行·提权,添加操作系统的管理员权限的用户
对网站进行全面的渗透测试,查找web漏洞,同时对webshell、系统级木马进行查杀,以恢复网站的正常运行。
摘抄记得早先少年时,大家诚诚展恳,说一句是一句。
清早上火车站,长街黑暗无行人,卖豆浆的小店冒着热气,
从前的日色变得慢车,马,邮件都慢,一生只够爱一个人,
从前的锁也好看,钥匙精美有样子,你锁了,人家就懂了。 ——《从前慢》
