本文主要是介绍应急响应-网页篡改-常规处置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在进行网页篡改应急响应时,通常需要由应急响应工程师借助安全设备、工具,在配合手动操作才能彻底清除黑链。当发现网页篡改时,可以使用以下处置方法。
隔离被感染的服务器/主机
- 隔离被感染的服务器/主机的目的:一是防止木马通过网络继续感染其他服务器/主机;二是防止攻击者通过已感染的服务器/主机继续操作其他设备。
- 有一类黑链会在内循环中执行程序,产生大量的黑链文件。为了确保木马的控制权限,攻击者还可能通过跳板机对内网的其他机器进行进一步入侵。所有,若不及时隔离被感染的服务器/主机,则可能导致整个局域网的服务器/主机被感染。
主要的隔离方法如下:
- 物理隔离的方法主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接,禁用网卡,并拔掉服务器/主机上的所有外部存储设备等;
- 对访问网络资源的权限进行严格的认证和控制。常用的操作方法是加策略和修改登录密码。
排查业务系统
- 业务系统的受影响程度直接关系着事件的风险等级。应急响应工程师应及时评估风险,并采取对应的处置措施,避免造成更大的危害。
- 在已经隔离被感染服务器/主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否植入后门。
- 在完成以上基本操作后,为了避免造成更大的损失,应第一时间对篡改网页时间、篡改方法、入侵路径种类等问题进行排查。
确定漏洞源头、溯源分析
- 网页被篡改后,攻击者下一步通常会进行色情、赌博等黑产资源的推广。在确认源头时,可以现在服务器文件中全盘搜索恶意关键字,如赌博、威尼斯、澳门等,然后删除被篡改的网页,在使用正常的备份文件替换。
- 溯源分析一般是通过查看服务器/主机中保留的日志信息和样本信息展开的。
- 查找木马可以使用Webshell查杀工具进行全盘查杀,然后通过日志判断木马的入侵方式。如果日志被删除了,那么就需要去服务器/主机寻找相关的木马样本或可疑文件,在通过分析这些可疑的文件来判断木马的入侵途径。当然,也可以直接使用专业的日志分析工具或联系专业技术人员进行日志及样本的分析。
恢复数据和业务
- 使用专业的木马查杀工具进行全盘查杀,清除遗留后门。
- 如果有数据备份,那么可以通过还原备份数据直接恢复业务;如果没有数据备份,那么可以将篡改事件爆发前后被更改过的文件一并进行检查,确定是否有黑链。
后续防护建议
- 对网站应用进行定期的渗透测试,及时发现安全漏洞并进行修复。
- 使用网站监测工具进行7*24小时监测,发现篡改事件立即进行应急响应处置。
- 定期对网站文件进行全盘Webshell扫描,防止出现后门
这篇关于应急响应-网页篡改-常规处置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
