網頁是否被篡改該如何排查

1. 初步預判

   網頁篡改事件區別于其他安全事件的明顯特點是：打開網頁后會看到明顯異常。

   • 業務系統某部分網頁出現異常字詞網頁被篡改后，在業務系統某部分網頁可能出現異常字詞，例如，出現賭博、色情、某些違法App推廣內容等。2019 年 4月，某網站遭遇網頁篡改，首頁產生大量帶有賭博宣傳的黑鏈。

   • 網站出現異常圖片、標語等網頁被篡改后，一般會在網站首頁等明顯位置出現異常圖片、標語等。例如，政治攻擊者為了宣泄不滿，在網頁上添加反動標語來進行宣示；還有一些攻擊者為了炫耀技術，留下“Hack by 某某”字眼或相關標語。

2. 系統排查

   網頁被惡意篡改是需要相應權限才能執行的，而獲取權限主要有三種方法：一是通過非法途徑購買已經泄露的相應權限的服務器賬號；二是使用惡意程序進行暴力破壞，從而修改網頁；三是入侵網站服務器，進而獲取操作權限。應對網頁篡改事件進行的系統排查如下。

   • 異常端口、進程排查初步預判為網頁篡改攻擊后，為了防止惡意程序定時控制和檢測網頁內容，需要及時發現并停止可疑進程，具體步驟如下。

   • 檢查端口連接情況，判斷是否有遠程連接、可疑連接。

   • 查看可疑的進程及其子進程。重點關注沒有簽名驗證信息的進程，沒有描述信息的進程，進程的屬主、路徑是否合法，以及CPU或內存資源長期占用過高的進程。

   • 可疑文件排查發現可疑進程后，通過進程查詢惡意程序。多數的網頁篡改是利用漏洞上傳Webshell文件獲取權限的，因此也可以使用D盾工具進行掃描。若發現Webshell文件，則可以繼續對Webshell進行排查。

   • 可疑賬號排查攻擊者為了實現長期對網站的控制，多數會獲取賬號或建立賬號。因此，我們可以對網站服務器賬號進行重點查看，一方面是查看服務器是否有弱密碼，遠程管理端口是否對公網開放，從而防止攻擊者獲取密碼，控制原有系統賬號；另一方面是查看服務器是否存在新增、隱藏賬號。

   • 確認篡改時間為了方便后續的日志分析，此時需要確認網頁篡改的具體時間。可以查看被篡改服務器的日志文件access.log，確認文件篡改大致時間。

3. 日志排查

   • 排查Windows日志。

   • 排查Linux日志。

   • 排查數據庫日志。

4. 清除加固

   • 對被篡改網頁進行下線處理。根據網頁被篡改的內容及影響程度，有針對性地進行處置，如果影響程度不大，篡改內容不多，那么可先將相關網頁進行下線處理，其他網頁正常運行，然后對篡改內容進行刪除恢復；如果篡改網頁帶來的影響較大，被篡改的內容較多，那么建議先對整個網站進行下線處理，同時掛出網站維護的公告。

   • 如果被篡改的內容較少，那么可以手動進行修改恢復；如果被篡改的內容較多，那么建議使用網站定期備份的數據進行恢復。當然，如果網站有較新的備份數據，那么無論篡改內容是多是少，推薦進行網站覆蓋恢復操作（覆蓋前對被篡改網站文件進行備份，以備后續使用），避免有未發現的篡改數據。

   • 如果網站沒有定時備份，那么就只能在一些舊的數據的基礎上，手動進行修改、完善。因此，對網站進行每日異地備份，是必不可少的。

   • 備份和刪除全部發現的后門，完成止損。

   • 通過在access.log中搜索可疑IP地址的操作記錄，可判斷入侵方法，修復漏洞。

回答所涉及的環境：聯想天逸510S、Windows 10。