網站首頁被非法篡改,是的,就是你一打開網站就知道自己的網站出現了安全問題,網站程序存在嚴重的安全漏洞,攻擊者通過上傳腳本木馬,從而對網站內容進行篡改。而這種篡改事件在某些場景下,會被無限放大。
現象描述
網站首頁被惡意篡改,比如復制原來的圖片,PS一下,然后替換上去。
問題處理
1、確認篡改時間
通過對被篡改的圖片進行查看,確認圖片篡改時間為2018年04月18日 19:24:07 。
2、訪問日志溯源
通過圖片修改的時間節點,發現可疑IP:113.xx.xx.24 (代理IP,無法追溯真實來源),訪問image.jsp(腳本木馬),並隨后訪問了被篡改的圖片地址。
進一步審查所有的日志文件(日志保存時間從2017-04-20至2018-04-19),發現一共只有兩次訪問image.jsp文件的記錄,分別是2018-04-18和2017-09-21。
image.jsp在2017-09-21之前就已經上傳到網站服務器,已經潛藏長達半年多甚至更久的時間。
3、尋找真相
我們在網站根目錄找到了答案,發現站點目錄下存在ROOT.rar全站源碼備份文件,備份時間為2017-02-28 10:35。
通過對ROOT.rar解壓縮,發現源碼中存在的腳本木馬與網站訪問日志的可疑文件名一致(image.jsp)。
根據這幾個時間節點,我們嘗試去還原攻擊者的攻擊路徑。
但是我們在訪問日志並未找到ROOT.rar的訪問下載記錄,訪問日志只保留了近一年的記錄,而這個webshell可能已經存在了多年。
黑客是如何獲取webshell的呢?
可能是通過下載ROOT.rar全站源碼備份文件獲取到其中存在的木馬信息,或者幾年前入侵並潛藏了多年,又或者是從地下黑產購買了shell,我們不得而知。
本文的示例中攻擊者為我們留下了大量的證據和記錄,而更多時候,攻擊者可能會清除所有的關鍵信息,這勢必會加大調查人員的取證難度。