Web應急：網站首頁被篡改

網站首頁被非法篡改，是的，就是你一打開網站就知道本身的網站出現了安全問題，網站程序存在嚴重的安全漏洞，攻擊者經過上傳腳本木馬，從而對網站內容進行篡改。而這種篡改事件在某些場景下，會被無限放大。

現象描述

網站首頁被惡意篡改，好比複製原來的圖片，PS一下，而後替換上去。

問題處理

一、確認篡改時間

經過對被篡改的圖片進行查看，確認圖片篡改時間爲2018年04月18日 19:24:07 。

二、訪問日誌溯源

經過圖片修改的時間節點，發現可疑IP：113.xx.xx.24 （代理IP，沒法追溯真實來源），訪問image.jsp（腳本木馬），並隨後訪問了被篡改的圖片地址。

進一步審查全部的日誌文件(日誌保存時間從2017-04-20至2018-04-19)，發現一共只有兩次訪問image.jsp文件的記錄，分別是2018-04-18和2017-09-21。

image.jsp在2017-09-21以前就已經上傳到網站服務器，已經潛藏長達半年多甚至更久的時間。

三、尋找真相

咱們在網站根目錄找到了答案，發現站點目錄下存在ROOT.rar全站源碼備份文件，備份時間爲2017-02-28 10:35。

經過對ROOT.rar解壓縮，發現源碼中存在的腳本木馬與網站訪問日誌的可疑文件名一致（image.jsp）。

根據這幾個時間節點，咱們嘗試去還原攻擊者的攻擊路徑。

可是咱們在訪問日誌並未找到ROOT.rar的訪問下載記錄，訪問日誌只保留了近一年的記錄，而這個webshell可能已經存在了多年。

黑客是如何獲取webshell的呢？

多是經過下載ROOT.rar全站源碼備份文件獲取到其中存在的木馬信息，或者幾年前入侵併潛藏了多年，又或者是從地下黑產購買了shell，咱們不得而知。

本文的示例中攻擊者爲咱們留下了大量的證據和記錄，而更多時候，攻擊者可能會清除全部的關鍵信息，這勢必會加大調查人員的取證難度。