網站被掛馬緊急響應及恢復

某天，正安逸地划水，忽然收到情報，公司某網站被黑了。驚得我一跳，這可不是一件小事

1、安全排查

趕忙搜索了一下網站關鍵詞，標題已經被篡改了

點進去，加載緩慢，並自動跳轉到了某博彩網站

查看網站源代碼，能夠看到有多處異常

在線編碼轉換，對應上了被篡改的內容

關係到公司形象，事態危急，須要趕忙聯繫資產管理員進行恢復

通過了解這個項目上線後就沒有再進行過更新，事實上已經沒有人維護了

經過管理員登陸到windows應用服務器後，把網站項目文件下載到本地進行Webshell查殺，發現被植入大量木馬後門

對系統進行殺毒掃描，暫未發現問題

查看系統日誌，有暴力登陸的行爲

查看登陸記錄詳細信息，發現諸多高危IP

nmap發現開放過多端口，其中不乏高危端口

排查網絡鏈接、進程等暫未發現問題，就不詳述了

2、網站恢復

1）在主機防火牆入站規則上關閉與業務無關端口

 

2）由於以前網站項目文件作過備份，webshell掃描沒有問題後直接替換掉如今文件

3）網站已經恢復，但在搜索引擎上看到的仍然是以前被篡改的標題，點進去網站是正常的，但搜索結果上展現的仍是以前的快照內容，能夠經過投訴快照（百度投訴快照服務暫停維護）進行更新

4）安裝主機防禦終端，對入侵行爲進行告警和阻斷