1、網站被篡改主要有哪幾種具體體現?
首頁被篡改
掛黑鏈
快照劫持了,根據不同IP訪問不同的頁面,所以導致了自己的快照被劫持。
2、如何發現網站被篡改
網站安全實時監測
如何確認網站被篡改了什么內容?
文件完整校驗,把所有網站文件計算一次hash值保存,然后再執行和上次的hash值進行對比,輸出新創建的 修改過 及刪除的文件列表
源碼在這里:https://github.com/xuerhuo/PhpFileMonitoring
3、應急響應措施
斷網,盡可能的保護服務器現有證據,做服務器硬盤鏡像備份,磁盤鏡像,然后搭建鏡像虛擬機,通過在鏡像虛擬機做一些操作去溯源。
在服務器鏡像中還原出已被刪除的文件,關聯分析確認可疑文件,證據鏈深度挖掘,還原攻擊路徑和攻擊來源。
網站源碼:
webshell查殺,發現可疑木馬,木馬分析
尋找可能存在的web安全漏洞,比如網站使用的框架、CMS漏洞等
日志分析:
網站訪問日志:
系統安全日志:
網站備份保存數據
建議數據庫每天備份一次,文件每周備份一次,可以嘗試網站自動備份工具。
處理措施:
刪除腳本木馬
日志和完整性校驗,十分重要,如果上傳多個木馬隱藏,若沒有完整性校驗就很難找出來所有的后門。
另外備份也很重要,可疑還原代碼。
部署網頁防篡改
為了避免由於網頁被篡改而帶來嚴重的危害,應該優先考慮做好技術防范工作,阻止網頁被篡改或將危害降到最低,主要可采取以下技術手段:
1)為服務器升級最新的安全補丁程序:補丁包含操作系統、應用程序、數據庫等,都需要打上最新的安全補丁,這個步驟是非常必要的,因為是程序內部的問題,是安全產品難以替代的,主要是為了防止緩沖溢出和設計缺陷等攻擊。
2)封閉未用但開放的網絡服務端口以及未使用的服務:
對於Windows server 2003操作系統,推薦使用TCP/IP篩選器,可以配合Windows server 2003系統防火牆,當然也可以通過操作比較復雜的IP安全策略來實現;
對於Linux操作系統,可以用自帶的IPTable防火牆。
一般用戶服務器上架前,會為用戶服務器做好服務器端口封閉以及關閉不使用的服務,但不排除部分維護人員為了簡便日常維護工作而開啟,本工作是一個非常簡單的任務,但會大大降低服務器被入侵的可能性,請務必實施。
3)設置復雜的管理員密碼:無論是系統管理員、數據庫管理員,還是FTP及網站管理員的密碼,都務必要設置為復雜密碼,原則如下:
不少於8位;至少包含有字母大寫、字母小寫和數字及特殊字符(@#!$%^&()等);不要明顯的規律。
4)合理設計網站程序並編寫安全代碼:網站目錄設計上盡可能將只需要讀權限的腳本和需要有寫權限的目錄單獨放置,盡量不要采用第三方不明開發插件,將網站的程序名字按照一定的規律進行命名以便識別;編寫代碼過程重要注意對輸入串進行約束,過濾可能產生攻擊的字符串,需要權限的頁面要加上身份驗證代碼。
5)設置合適的網站權限:
網站權限設置包括為每個網站創建一個專屬的訪問用戶和網站目錄文件的權限;網站目錄文件權限設置原則是:只給需要寫入的目錄以寫的權限,其它全為只讀權限;
6)防止ARP欺騙的發生:
安裝arp防火牆,並手動綁定網關mac地址。
手動綁定網關mac地址,網關mac地址,可以通過arp命令來查詢。
(二)、必要的管理制度和應急處理措施
上文重點從技術的角度分析了最有效解決網頁被篡改的安全方案,即我們首先應該把精力投入到做好防護工作上去,盡可能做到不讓黑客劫持我們的網絡、不讓黑客入侵到我們的服務器中去,自然也就解決了網頁被篡改的問題,但是作為不備之策,我們仍然強調必須做好以下幾個方面的工作:
1)網站數據備份:我們必須做好數據備份工作,因為無論是黑客入侵、硬件故障等問題都可導致數據丟失,但我們可以用備份盡快的恢復業務,所以一定制訂好持續的數據備份方案。
2)安全管理制度:任何技術手段的實施,如:打安全補丁、網站權限設置、復雜的密碼、防火牆規則等,都需要人來進行完成,若沒有良好的制度來指導和管理,那么一切都將是空話,因此,制訂好一套行之有效的制度,並配備相關的實施人員,把技術手段貫徹下去是非常必要的。
3)應急處理措施:即便是再好的技術和管理,也不能保證攻擊事件不會發生,因此我們要時刻做好網頁被篡改的准備,准備好相應的檢查、記錄和恢復工具,准備好規范的應急步驟,一旦發生,以便有條不紊的盡快予以恢復,並進行記錄和總結,必要的可保護現場並進行報案等處理。
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
