亚洲女同成aV人片在线观看|亚洲www啪成人一区二区麻豆|亚洲国产中日韩精品综合|亚洲国产成人精品一级片|亚洲无码在线视频免费

網(wǎng)址被篡改怎么修復（網(wǎng)站被篡改詳細處理方法）

現象描述

網(wǎng)站首頁(yè)被惡意篡改，網(wǎng)址比如復制原來(lái)的被篡圖片，PS一下，改修然后替換上去(′?_?`)。復網(wǎng)方ヽ(′ー｀)ノ法

問(wèn)題處理

1、站被確認篡改時(shí)間

2、網(wǎng)址訪(fǎng)問(wèn)日志溯源

通過(guò)圖片修改的被篡時(shí)間節點(diǎn)，發(fā)現可疑IP：113.xx.xx.24 （代理IP，改修無(wú)法追溯真實(shí)來(lái)源），復網(wǎng)方法訪(fǎng)問(wèn)image.jsp（腳本木馬），站被并隨后訪(fǎng)問(wèn)了被篡改的篡改處理圖片地址。

進(jìn)一步審查所有的詳細日志文件(日志保存時(shí)間從(cong)2017-04-20至2018-04-19)，發(fā)現一共只有(°□°)兩次訪(fǎng)??問(wèn)image.jsp文件的網(wǎng)址記錄，分別是2018-04-18和2017-09-21(′?ω?`)。

image.jsp在2017-09-21之前就已經(jīng)上傳到網(wǎng)站服務(wù)器，已經(jīng)潛藏長(cháng)達半年多(duo)甚至更久(′?ω?`)的時(shí)間。

3、尋找真相

我們在網(wǎng)站根目錄找到了答案，發(fā)現站點(diǎn)目錄下存在ROOT.rar全站源碼備份文件，備份時(shí)間為2017-02-28 10:35。

通過(guò)對ROOT.rar解壓縮，(???)發(fā)現源碼中存在的腳本木馬與網(wǎng)站訪(fǎng)問(wèn)日志的可(ke)疑文件名一致（image.jsp）。

根據這幾個(gè)時(shí)間節點(diǎn)，我們嘗試去還原攻擊者??的攻擊路徑。

但是我們在訪(fǎng)問(wèn)日志并未(′?ω?`)找到ROOT.rar的訪(fǎng)問(wèn)下載記錄，訪(fǎng)問(wèn)日志只保留了近一年的記錄，而這個(gè)webshell可能已??經(jīng)存在了多年。

黑客是如何獲取webshell的呢？

可能是通過(guò)下載ROOT.rar全站源碼備份文件獲取到其中存在的木馬信息，或者幾年前入侵并潛藏了多年，又或者是從地下黑產(chǎn)購買(mǎi)了shell，我們不得而知。

本文的示例中攻擊者為我們留下了大量的證據和記錄，而更多時(shí)候，攻擊者可能會(huì )清除所有的關(guān)鍵信息，這勢必會(huì )加大調查人員的取證難度。