网页篡改应急响应技术手册<\/h1>

1. 实验概述<\/h2>

1.1 实验目的<\/h3>

掌握网页篡改的判断方法<\/li>
掌握网页篡改的应急响应排查流程<\/li>

学习系统、日志、漏洞发现和安全加固等技能<\/li> <\/ul>

1.2 实验场景<\/h3>
A企业Web服务器遭受攻击，网站首页被劫持，用户访问时自动跳转到博彩界面。<\/p>

1.3 实验原理<\/h3>
通过文件内容检测、进程排查、网络连接分析、日志审查、漏洞扫描和安全加固等手段，找出黑客后门，还原攻击路径。<\/p>

2. 实验设备与工具<\/h2>

2.1 硬件设备<\/h3>

安全设备：防火墙2台、OpenVAS漏洞扫描器、天眼分析平台1套、天擎1台、WAF加固_A1台<\/li>
网络设备：路由器1台、交换机3台<\/li>

主机终端：Kali Linux 1台、Windows7主机3台、Ubuntu16.04 2台、CentOS 2台<\/li> <\/ul>

2.2 软件工具<\/h3>

操作系统：Windows7<\/li>
终端工具：Putty<\/li>
集成环境：宝塔面板<\/li>
浏览器：谷歌浏览器<\/li>
WebShell查杀：河马查杀工具<\/li>
文本编辑器：Sublime Text3<\/li>
抓包工具：BurpSuite<\/li>

WAF软件：phpwaf脚本<\/li> <\/ul>

3. 实验步骤详解<\/h2>

3.1 判断网页篡改<\/h3>

浏览器分析<\/strong>：<\/p>

使用Chrome开发者工具(Network标签)分析页面加载<\/li>
发现自动加载1.js恶意文件<\/li> <\/ul> <\/li>

BurpSuite抓包分析<\/strong>：<\/p>

配置浏览器代理(127.0.0.1:8080)<\/li>
拦截请求并发送到Repeater模块<\/li>
在响应源代码中发现恶意JavaScript代码<\/li> <\/ul> <\/li>

恶意文件分析<\/strong>：<\/p>

1.js文件内容：判断浏览器信息并跳转博彩页面<\/li>
1.png文件：博彩界面图片<\/li> <\/ul> <\/li>

修复措施<\/strong>：<\/p>

使用vim编辑index.php删除恶意代码<\/li>
删除1.js和1.png恶意文件<\/li> <\/ul> <\/li> <\/ol>
3.2 WebShell查杀<\/h3>

使用河马查杀工具<\/strong>：<\/p>
cd \/opt .\/hm scan \/www\/wwwroot\/ <\/code><\/pre> 扫描结果保存在result.csv<\/li> 发现后门文件：\/www\/wwwroot\/sqlgunadmin\/shell.php<\/li> <\/ul> <\/li> 处理WebShell<\/strong>：<\/p> 编辑文件删除恶意代码<\/li> 或直接删除纯恶意文件<\/li> <\/ul> <\/li> <\/ol> 3.3 系统排查<\/h3> 3.3.1 网络连接及进程排查<\/h4> 检查网络连接<\/strong>：<\/p> netstat -antp <\/code><\/pre> 分析异常端口和连接<\/li> <\/ul> <\/li> CPU占用分析<\/strong>：<\/p> top ps aux | grep www <\/code><\/pre> 发现www用户异常高CPU占用<\/li> 定位到恶意进程写入shell.php<\/li> <\/ul> <\/li> 终止恶意进程<\/strong>：<\/p> ps aux | grep shell.php | awk '{print $2}' | xargs kill -9 rm shell.php <\/code><\/pre> <\/li> <\/ol> 3.3.2 可疑用户排查<\/h4> 检查特权用户<\/strong>：<\/p> awk -F: '$3==0{print $1}' \/etc\/passwd <\/code><\/pre> <\/li> 检查可远程登录用户<\/strong>：<\/p> awk '\/\$1|\$6\/{print $1}' \/etc\/shadow <\/code><\/pre> <\/li> 检查sudo权限用户<\/strong>：<\/p> cat \/etc\/sudoers | grep -v '^#\|^$' | grep 'ALL=(ALL)' <\/code><\/pre> <\/li> 处理可疑用户<\/strong>：<\/p> usermod -L 用户名 # 禁用账号 userdel -r 用户名 # 删除账号及家目录 <\/code><\/pre> <\/li> <\/ol> 3.3.3 可疑文件排查<\/h4> 检查临时目录<\/strong>：<\/p> cd \/tmp ls -al <\/code><\/pre> 发现隐藏文件.shell.php和..shell目录<\/li> <\/ul> <\/li> 删除恶意文件<\/strong>：<\/p> rm .shell.php rm -rf ..shell\/ <\/code><\/pre> <\/li> 按时间查找可疑文件<\/strong>：<\/p> find \/opt -iname "*" -atime 1 -type f find \/usr -iname "*" -atime 1 -type f <\/code><\/pre> <\/li> <\/ol> 3.3.4 开机启动项排查<\/h4> 检查运行级别<\/strong>：<\/p> runlevel <\/code><\/pre> <\/li> 检查启动项<\/strong>：<\/p> cat \/etc\/rc.local ls -l \/etc\/rc5.d\/ <\/code><\/pre> 发现异常启动项S666shell<\/li> <\/ul> <\/li> 删除恶意启动项<\/strong>：<\/p> rm \/etc\/init.d\/shell.sh rm \/etc\/rc5.d\/S666shell <\/code><\/pre> <\/li> <\/ol> 3.3.5 计划任务排查<\/h4> 检查计划任务<\/strong>：<\/p> crontab -l -u 用户名 <\/code><\/pre> <\/li> 删除恶意计划任务<\/strong>：<\/p> crontab -r -u 用户名 # 全部删除 crontab -e -u 用户名 # 选择性删除 <\/code><\/pre> <\/li> <\/ol> 3.3.6 服务自启动排查<\/h4> 检查已安装软件包<\/strong>：<\/p> CentOS: rpm -qa<\/code><\/li> Ubuntu: dpkg -l<\/code><\/li> <\/ul> <\/li> 检查自启服务<\/strong>：<\/p> systemctl list-unit-files | grep enabled <\/code><\/pre> <\/li> 禁用并删除恶意服务<\/strong>：<\/p> systemctl disable 服务名 rm \/etc\/systemd\/system\/服务名.service <\/code><\/pre> <\/li> <\/ol> 3.4 日志排查<\/h3> 3.4.1 中间件日志分析<\/h4> 分析访问日志<\/strong>：<\/p> cd \/www\/wwwlogs\/ head -n 100 172.16.12.233-access_log <\/code><\/pre> <\/li> 发现攻击行为<\/strong>：<\/p> 目录扫描(Dirbuster)<\/li> SQL注入攻击(sqlmap)<\/li> 后台入侵(addnews)<\/li> 文件上传漏洞利用<\/li> <\/ul> <\/li> <\/ol> 3.4.2 天眼日志分析<\/h4> 登录天眼平台<\/strong>：<\/p> URL: https:\/\/172.24.106.47\/<\/li> 账号: tapadmin<\/li> 密码: !1fw@2soc#3vpn<\/li> <\/ul> <\/li> 查看告警日志<\/strong>：<\/p> 监测中心 → 总警告数量<\/li> 按时间筛选攻击行为<\/li> <\/ul> <\/li> <\/ol> 3.4.3 Shell命令日志分析<\/h4> 统计访问IP<\/strong>：<\/p> awk '{print $1}' access.log | sort | uniq -c | sort -rn <\/code><\/pre> <\/li> 查看特定IP访问<\/strong>：<\/p> grep ^IP地址 access.log | awk '{print $1,$7}' | more <\/code><\/pre> <\/li> 统计状态码<\/strong>：<\/p> cat access.log | awk '{print $9}' | sort | uniq -c | sort -rn <\/code><\/pre> <\/li> <\/ol> 3.5 漏洞扫描(OpenVAS)<\/h3> 登录OpenVAS<\/strong>：<\/p> URL: https:\/\/10.10.10.4:9392<\/li> 账号: admin<\/li> 密码: admin<\/li> <\/ul> <\/li> 创建扫描任务<\/strong>：<\/p> Configuration → Targets → 新建目标<\/li> Scans → Tasks → 新建扫描任务<\/li> <\/ul> <\/li> 分析扫描结果<\/strong>：<\/p> Results → 查看漏洞详情<\/li> 共发现38个漏洞<\/li> <\/ul> <\/li> <\/ol> 3.6 安全加固<\/h3> 3.6.1 WAF防护<\/h4> 部署WAF<\/strong>：<\/p> cd ~\/waf cp .\/waf.php \/www\/wwwroot\/waf.php <\/code><\/pre> <\/li> 应用WAF<\/strong>：<\/p> 在漏洞页面添加： require_once<\/span> '.\/waf.php'<\/span>; <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 验证防护效果<\/strong>：<\/p> 尝试SQL注入攻击被拦截<\/li> 查看防护日志：\/www\/wwwroot\/hazel.txt<\/li> <\/ul> <\/li> <\/ol> 4. 实验结果<\/h2> 成功定位并清除网页劫持代码<\/li> 发现并清除多个WebShell后门<\/li> 识别并处理系统异常(进程、用户、文件、启动项)<\/li> 通过日志还原完整攻击链<\/li> 扫描发现网站漏洞<\/li> 实现有效的安全加固<\/li> <\/ol> 5. 实验思考<\/h2> 如何利用攻击痕迹进行反制？<\/li> 网站存在漏洞时，如何利用WAF阻断攻击？<\/li> 如何建立长效安全防护机制？<\/li> <\/ol>

网页篡改应急响应技术手册<\/h1>

1. 实验概述<\/h2>

1.2 实验场景<\/h3> A企业Web服务器遭受攻击，网站首页被劫持，用户访问时自动跳转到博彩界面。<\/p>

1.3 实验原理<\/h3> 通过文件内容检测、进程排查、网络连接分析、日志审查、漏洞扫描和安全加固等手段，找出黑客后门，还原攻击路径。<\/p>

2. 实验设备与工具<\/h2>

3. 实验步骤详解<\/h2>

3.3 系统排查<\/h3>

3.4 日志排查<\/h3>

3.6 安全加固<\/h3>

5. 实验思考<\/h2> 如何利用攻击痕迹进行反制？<\/li> 网站存在漏洞时，如何利用WAF阻断攻击？<\/li> 如何建立长效安全防护机制？<\/li> <\/ol>

1.2 实验场景<\/h3>
A企业Web服务器遭受攻击，网站首页被劫持，用户访问时自动跳转到博彩界面。<\/p>

1.3 实验原理<\/h3>
通过文件内容检测、进程排查、网络连接分析、日志审查、漏洞扫描和安全加固等手段，找出黑客后门，还原攻击路径。<\/p>

5. 实验思考<\/h2>

如何利用攻击痕迹进行反制？<\/li>
网站存在漏洞时，如何利用WAF阻断攻击？<\/li>
如何建立长效安全防护机制？<\/li> <\/ol>