赞
踩
网页篡改,即攻击者故意篡改网页上传的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。
明显式(炫耀自己的技术技巧)和隐藏式(植入诈骗等非法信息链接,再通过灰色、黑色产业链牟取非法利益)
网页篡改方法分为文件操作类(攻击者用自己的web网页文件在没有授权的情况下替换web服务器上的网页,或在web服务器上创建未授权的网页)和内容修改类(对web服务器上网页的内容增删改等非授权操作)
1)攻击者获取经济利益
2)攻击者展现能力,损坏他人形象
3)通过网页篡改,实现后续其他攻击
如网页挂马、水坑攻击、网络钓鱼。
主要攻击手法:利用网站漏洞实现对网站主机的控制并篡改网页。
1)外挂轮询技术
2)核心内嵌技术
3)事件触发技术
1)将服务器安全补丁升级到最新版
2)封闭未使用但已经开放的网络服务端口及未使用的服务
3)使用复杂的管理员密码
4)网站程序应设计合理并注意安全代码的编写
在书写代码时,要注意对输入的串进行约束,过滤可能产生攻击的字符串,特殊权限页面要添加身份验证代码。
5)设置合适的网站权限
网站目录文件权限的设置原则:仅分配只写权限的目录文件,其他均为只读权限。
6)防止ARP欺骗的发生
安装arp防火墙,并手动绑定网关mac地址等。
1)网站数据备份
2)安全管理制度
3)应急响应处置措施
主要的隔离方法:
1)物理隔离:断网或断电,关闭服务器/主机的无线网络,蓝牙连接,禁用网卡,并拔掉服务器/主机上的所有外部存储设备等。
2)对访问网络资源的权限进行严格的认证和控制。常见方法:加策略和修改登录密码。
对局域网内的其他机器进行排查,检查核心业务是否受到影响,生产线是否受到影响,并检查备份系统是否植入后门。
确定源头:在服务器文件中全盘搜索恶意关键字,如威尼斯、澳门等。
溯源分析:查看服务器/主机中保留的日志信息和样本信息。
1)使用专业的木马查杀工具进行全盘查杀
2)有备份文件就直接还原,没有的话将被篡改前后的文件一并进行检查,确认是否有黑链。
1)对网站进行定期的渗透测试
2)使用网站监测工具进行7*24小时监测
确定网页被篡改后,只用备份文件恢复,没有做进一步排查。可能会导致又一次被入侵。
1、日志分析工具
2、网站监控工具
1)业务系统某部分网页出现异常字词
2)网站出现异常图片、标语等。
网页被篡改是需要相应权限才能执行的,而获取权限主要有三种方法:
1)通过非法途径购买已经泄露的相应权限的服务器账号
2)使用恶意程序进行暴力破坏
3)入侵网站服务器
系统排查如下:
1)异常端口、进程排查
(1)检查端口连接情况,判断是否有远程连接、可疑连接。
(2)查看可疑的进程及其子进程。重点关注没有签名验证信息的进程,没有描述信息的进程,进程的属主、路径是否合法,以及cpu或内存资源长期占用过高的进程。
2)可疑文件排查
多数的网页篡改是利用漏洞上传webshell文件获取权限的,因此可用D盾进行扫描。
3)可疑账号排查
查看服务器是否有弱密码;查看是否存在新增、隐藏账号。
4)确认篡改时间
1)系统日志
Windows系统
(1)系统:查看是否有异常操作
(2)安全:查看各种类型的登录日志、对象访问日志等
(3)应用:如哪个应用程序出现崩溃情况
2)web日志
通过web日志可以清楚的知道用户的IP地址、何时使用的操作系统、使用什么浏览器访问了网站的哪个页面、是否访问成功等。
Windows系统
(1)查找IIS日志,常见的IIS日志放在目录“C:\inetub\logs\LogFiles”下
(2)查找与文件篡改时间相关的日志,查看是否存在异常文件访问
(3)若存在异常文件访问,确认是正常文件还是后门文件
通过流量监控系统,筛选出问题时间线内所有该主机的访问记录,提取IP地址。
1)对被篡改网页进行下线处理
2)被篡改的内容少,手动进行修改恢复;较多的话建议使用网站定期备份的数据进行恢复
3)对网站进行每日异地备份
4)备份和删除全部发现的后门,完成止损
5)通过在access.log中搜索可以ip地址的操作记录,可判断入侵方法,修复漏洞。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。