页面篡改安全事件应急响应流程

页面篡改安全事件应急响应流程 一、网页篡改类型认知 1. 网站首页替换型 特征 ：首页文件(index.html/default.html)被替换为与网站无关的页面 常见表现 ：黑色页面或其他炫目网页(俗称"黑页") 动机 ：黑客入侵后炫技或恶作剧行为 2. 网站页面TDK篡改型 TDK定义 ：标题(Title)、描述(Description)、关键词(KeyWords) 篡改目的 ：SEO优化，提升违规网站在搜索引擎排名 特点 ：篡改手法隐匿，需查看网页源代码才能发现 常见内容 ：博彩等违法信息 3. 加载外部JS脚本劫持型 工作原理 ： 通过代码识别访问来源 正常访问显示正常内容 搜索引擎访问显示违规内容 检测方法 ：修改浏览器User Agent模拟搜索引擎蜘蛛访问 4. 网页孤岛页面型 定义 ：网站内生成与主体无关的全新HTML页面 特点 ： 无外部链接可跳转 内容多为违规信息 入侵途径 ： 通过网站编辑器上传 通过Webshell上传 5. Global文件快照劫持型 目标文件 ：ASP.NET的Global.asax等全局配置文件 攻击原理 ：修改全局动态脚本文件实现所有页面访问时的劫持 检测方法 ：同JS脚本劫持，修改User Agent模拟搜索引擎访问 二、现场应急处置流程 1. 初步访谈与信息收集 关键询问点 ： 事件发现方式(自主发现/外部通报)及时间 网络拓扑结构(要求提供拓扑图) 安全设备部署情况(WAF、日志审计等) 服务器操作系统类型(Windows/Linux) 日志记录情况(系统日志、中间件日志) 防篡改设备状态及告警情况 业务内容发布流程 2. 事件真实性验证 排除误报可能性 ： 系统更新导致的文件修改 用户误操作 缓存文件异常 链路挟持或CDN节点问题 3. 篡改确认技术手段 系统文件验证 Windows系统 ： 使用MD5校验器比对文件哈希值 检查数字签名完整性 查看文件属性中的创建/修改时间 Linux系统 ： 使用md5sum命令比对哈希 使用stat命令检查文件时间属性 注意：modify time可能被黑客修改，需结合change time判断 网页文件验证 Windows系统 ： 记录文件属性中的时间信息 检查源代码中的Unicode编码内容 使用Beyond Compare工具进行文件差异比对 Linux系统 ： 使用cat查看文件内容 使用diff进行文件差异比对 使用find命令查找近期修改文件： 中间件配置检查 检查各中间件配置文件： Apache: http.conf Tomcat: web.xml IIS: web.config Nginx: nginx.conf PHP: php.ini 三、后门查杀与工具推荐 Windows系统工具 D盾 ： 特点：支持多扩展名分析，规则库强大 使用：选择Web根目录进行扫描 下载：http://www.d99net.net/ Linux系统工具 河马查杀 ： 特点：云端大数据+传统特征双引擎 使用： ./hm -h 查看指令 下载：https://www.shellpub.com/ 在线查杀服务 百度WEBDIR+：https://scanner.baidu.com/ Web Shell Detector：http://www.shelldetector.com/ 深度学习检测PHP Webshell：http://webshell.cdxy.me/ 文件打包注意事项 虚拟主机环境需通过面板打包而非直接下载 直接下载会改变文件时间属性，影响溯源 四、取证与日志收集 Windows系统日志 路径：控制面板 > 管理工具 > 事件查看器 > Windows日志 Linux系统日志 主目录：/var/log 中间件日志默认路径 | 中间件 | Windows路径 | Linux路径 | |--------|-------------|-----------| | IIS | C:\WINDOWS\system32\LogFiles | - | | Apache | apache/logs/ | /usr/local/apache/logs/ | | Tomcat | - | conf/logging.properties | | Weblogic | - | domain_ name/servers/server_ name/logs/ | | Jboss | - | jboss/server/default/conf/jboss-log4j.xml | | Nginx | - | /var/log/nginx/ | 取证材料清单 篡改页面截图 文件修改时间记录 后门文件样本 整站源码打包 系统及中间件日志 必要时系统完整镜像