网站页面篡改及挂马的应急处置

排查思路

• 排查篡改的页面。
• 排查是否有Webshell。
• 排查是否存在操作系统级木马。
• 排查网站存在的漏洞及黑客的攻击路径。
• 进行综合分析及溯源。

常见技术手段 直接篡改页面

直接篡改页面是比较简单的一种方式，常见的是篡改首页或二级页面，包括直接进行替换、篡改图片、篡改内容等。

这类事件在应急响应中，这种方式相对比较简单，可以直接发现。

iframe框架篡改

使用HTML语句“” (通过设置width和height 值来控制页面是否显示），这种方式相对也比较简单，可以直接发现。

JS 文件篡改

JS 篡改是比较常用的一种方式，HTML语句为

其中“any.js”为原有的JS文件，可以在原有的JS中篡改，也可以在新建页面中。此类篡改，通过抓包工具定位该JS文件即可发现

其他篡改

其他篡改或挂马技术，目前用的比较少，如body挂马、隐蔽挂马、CSS挂马、图片伪装等。

处置过程 事件描述

1、接到某单位通知，网站被篡改，

2、通过搜索引擎发现篡改页面，立即联系网站管理员，暂停网站的访问

3、初步确定是网站的某个目录下被上传了页面

处置过程简述

1、到达用户现后，直接查找攻击者上传的篡改页面，备份后删除

2、对篡改里面的代码进行分析 发现config.php是恶意文件，通过源代码发现，该文件存在恶意链接文件：

base64_decode('77+9LOS9k+iCsu+/vSzotrPnkIPvv70s5q+U5YiG77+9LOmAgeW9qemHke+/vSzniLHljZrkvZPogrLvv713d3cubG92ZWJvMjAuY29tIO+/vSA=')

进行base64解码后，访问网站，为菠菜网站

3、排查webshell，使用D盾进行查杀，河马webs hell进行检测，进一步确认主机是否存在木马

4、排查日志

5、还原攻击路线

根据事件线，还原攻击路径。

摘抄

仲夏、烟火、梅子酒、沙丁鱼、

樱花汇成的隧道，

火车经过的小镇，夏天，我在想念你的味道。

——《海街日记》