网页篡改应急响应技术手册

1. 实验概述

1.1 实验目的

• 掌握网页篡改的判断方法
• 掌握网页篡改的应急响应排查流程
• 学习系统、日志、漏洞发现和安全加固等技能

1.2 实验场景

A企业Web服务器遭受攻击，网站首页被劫持，用户访问时自动跳转到博彩界面。

1.3 实验原理

通过文件内容检测、进程排查、网络连接分析、日志审查、漏洞扫描和安全加固等手段，找出黑客后门，还原攻击路径。

2. 实验设备与工具

2.1 硬件设备

• 安全设备：防火墙2台、OpenVAS漏洞扫描器、天眼分析平台1套、天擎1台、WAF加固_A1台
• 网络设备：路由器1台、交换机3台
• 主机终端：Kali Linux 1台、Windows7主机3台、Ubuntu16.04 2台、CentOS 2台

2.2 软件工具

• 操作系统：Windows7
• 终端工具：Putty
• 集成环境：宝塔面板
• 浏览器：谷歌浏览器
• WebShell查杀：河马查杀工具
• 文本编辑器：Sublime Text3
• 抓包工具：BurpSuite
• WAF软件：phpwaf脚本

3. 实验步骤详解

3.1 判断网页篡改

1. 浏览器分析：

   • 使用Chrome开发者工具(Network标签)分析页面加载
   • 发现自动加载1.js恶意文件

2. BurpSuite抓包分析：

   • 配置浏览器代理(127.0.0.1:8080)
   • 拦截请求并发送到Repeater模块
   • 在响应源代码中发现恶意JavaScript代码

3. 恶意文件分析：

   • 1.js文件内容：判断浏览器信息并跳转博彩页面
   • 1.png文件：博彩界面图片

4. 修复措施：

   • 使用vim编辑index.php删除恶意代码
   • 删除1.js和1.png恶意文件

3.2 WebShell查杀

1. 使用河马查杀工具：

   cd /opt
   ./hm scan /www/wwwroot/
   

   • 扫描结果保存在result.csv
   • 发现后门文件：/www/wwwroot/sqlgunadmin/shell.php

2. 处理WebShell：

   • 编辑文件删除恶意代码
   • 或直接删除纯恶意文件

3.3 系统排查

3.3.1 网络连接及进程排查

1. 检查网络连接：

   netstat -antp
   

   • 分析异常端口和连接

2. CPU占用分析：

   top
   ps aux | grep www
   

   • 发现www用户异常高CPU占用
   • 定位到恶意进程写入shell.php

3. 终止恶意进程：

   ps aux | grep shell.php | awk '{print $2}' | xargs kill -9
   rm shell.php
   

3.3.2 可疑用户排查

1. 检查特权用户：

   awk -F: '$3==0{print $1}' /etc/passwd
   

2. 检查可远程登录用户：

   awk '/\$1|\$6/{print $1}' /etc/shadow
   

3. 检查sudo权限用户：

   cat /etc/sudoers | grep -v '^#\|^$' | grep 'ALL=(ALL)'
   

4. 处理可疑用户：

   usermod -L 用户名  # 禁用账号
   userdel -r 用户名  # 删除账号及家目录
   

3.3.3 可疑文件排查

1. 检查临时目录：

   cd /tmp
   ls -al
   

   • 发现隐藏文件.shell.php和..shell目录

2. 删除恶意文件：

   rm .shell.php
   rm -rf ..shell/
   

3. 按时间查找可疑文件：

   find /opt -iname "*" -atime 1 -type f
   find /usr -iname "*" -atime 1 -type f
   

3.3.4 开机启动项排查

1. 检查运行级别：

   runlevel
   

2. 检查启动项：

   cat /etc/rc.local
   ls -l /etc/rc5.d/
   

   • 发现异常启动项S666shell

3. 删除恶意启动项：

   rm /etc/init.d/shell.sh
   rm /etc/rc5.d/S666shell
   

3.3.5 计划任务排查

1. 检查计划任务：

   crontab -l -u 用户名
   

2. 删除恶意计划任务：

   crontab -r -u 用户名  # 全部删除
   crontab -e -u 用户名  # 选择性删除
   

3.3.6 服务自启动排查

1. 检查已安装软件包：

   • CentOS: rpm -qa
   • Ubuntu: dpkg -l

2. 检查自启服务：

   systemctl list-unit-files | grep enabled
   

3. 禁用并删除恶意服务：

   systemctl disable 服务名
   rm /etc/systemd/system/服务名.service
   

3.4 日志排查

3.4.1 中间件日志分析

1. 分析访问日志：

   cd /www/wwwlogs/
   head -n 100 172.16.12.233-access_log
   

2. 发现攻击行为：

   • 目录扫描(Dirbuster)
   • SQL注入攻击(sqlmap)
   • 后台入侵(addnews)
   • 文件上传漏洞利用

3.4.2 天眼日志分析

1. 登录天眼平台：

   • URL: https://172.24.106.47/
   • 账号: tapadmin
   • 密码: !1fw@2soc#3vpn

2. 查看告警日志：

   • 监测中心 → 总警告数量
   • 按时间筛选攻击行为

3.4.3 Shell命令日志分析

1. 统计访问IP：

   awk '{print $1}' access.log | sort | uniq -c | sort -rn
   

2. 查看特定IP访问：

   grep ^IP地址 access.log | awk '{print $1,$7}' | more
   

3. 统计状态码：

   cat access.log | awk '{print $9}' | sort | uniq -c | sort -rn
   

3.5 漏洞扫描(OpenVAS)

1. 登录OpenVAS：

   • URL: https://10.10.10.4:9392
   • 账号: admin
   • 密码: admin

2. 创建扫描任务：

   • Configuration → Targets → 新建目标
   • Scans → Tasks → 新建扫描任务

3. 分析扫描结果：

   • Results → 查看漏洞详情
   • 共发现38个漏洞

3.6 安全加固

3.6.1 WAF防护

1. 部署WAF：

   cd ~/waf
   cp ./waf.php /www/wwwroot/waf.php
   

2. 应用WAF：

   • 在漏洞页面添加：

     require_once './waf.php';
     

3. 验证防护效果：

   • 尝试SQL注入攻击被拦截
   • 查看防护日志：/www/wwwroot/hazel.txt

4. 实验结果

1. 成功定位并清除网页劫持代码
2. 发现并清除多个WebShell后门
3. 识别并处理系统异常(进程、用户、文件、启动项)
4. 通过日志还原完整攻击链
5. 扫描发现网站漏洞
6. 实现有效的安全加固

5. 实验思考

1. 如何利用攻击痕迹进行反制？
2. 网站存在漏洞时，如何利用WAF阻断攻击？
3. 如何建立长效安全防护机制？