網(wǎng)頁篡改

網(wǎng)頁篡改也有以下三個(gè)情況分類

常規(guī)作死型，直接替換主頁文件，可能是某些黑客的惡作劇之類。

黑產(chǎn)相關(guān)，訪問網(wǎng)頁跳轉(zhuǎn)到菠菜網(wǎng)站，這類一般都是利用腳本批量的掃然后自動(dòng)化的修改某些文件內(nèi)容，將訪問重定向到目標(biāo)菠菜網(wǎng)站。

除了直接跳轉(zhuǎn)之外還有一種是網(wǎng)站正常訪問，但是通過百度等搜索引擎搜索時(shí)候看到一些文章內(nèi)容被替換了。

前兩種，訪問主頁打開發(fā)現(xiàn)是黑頁或菠菜網(wǎng)站的，需要我們先排查一下頁面是否為DNS劫持影響，這一步簡單的ping命令就能幫助我們完成

如果域名解析的IP地址沒有問題，確實(shí)是客戶IP地址資產(chǎn)（PS：如果遇到是CDN情況，那么看該CDN是不是用戶自己的），不考慮CDN也被入侵的情況，基本能確認(rèn)是網(wǎng)頁確實(shí)是被篡改了。

針對(duì)此類型事件處理方案應(yīng)該優(yōu)先給用戶斷個(gè)網(wǎng)，至少先斷開對(duì)外的映射，然后再本地使用D盾進(jìn)行webshell查殺，對(duì)確認(rèn)的木馬進(jìn)行刪除操作（這一步先和網(wǎng)站管理溝通確認(rèn)下，避免誤刪）

之后對(duì)查看web日志，通過被修改頁面的修改時(shí)間，如2017-12-20 15:53這一時(shí)間段內(nèi)（可以先從前后一周的范圍開始篩查）的可疑訪問進(jìn)行篩選，結(jié)合掃描到的木馬特征名稱，如test.php這樣的文件名特征，綜合判斷后確認(rèn)攻擊IP，然后根據(jù)攻擊IP的訪問記錄推斷出可能存在漏洞的文件，并進(jìn)行代碼分析和修復(fù)。

之后處理完對(duì)網(wǎng)站進(jìn)行恢復(fù)備份即可。

另外某些情況下，可能用戶并沒有備份文件，此時(shí)建議使用seay源代碼審計(jì)工具來對(duì)網(wǎng)站源碼關(guān)鍵字進(jìn)行搜索，關(guān)鍵字可以為referer、各個(gè)搜索引擎的ua以及對(duì)應(yīng)的菠菜網(wǎng)站的域名，當(dāng)然有可能會(huì)遇到內(nèi)容加密的情況，此時(shí)的處理方式只能是根據(jù)文件修改時(shí)間來對(duì)近期改動(dòng)過的文件進(jìn)行排查。