征象描述
网站首页被恶意修改,比如复制原来的图片,PS一下,然后更换上去。
问题处理
1、确认修改韶光
通过对被修改的图片进行查看,确认图片修改韶光为2018年04月18日 19:24:07 。
2、访问日志溯源
通过图片修正的韶光节点,创造可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源),访问image.jsp(脚本木马),并随后访问了被修改的图片地址。
进一步审查所有的日志文件(日志保存韶光从2017-04-20至2018-04-19),创造一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017-09-21。
image.jsp在2017-09-21之前就已经上传到网站做事器,已经潜藏长达半年多乃至更久的韶光。
3、探求原形
我们在网站根目录找到了答案,创造站点目录下存在ROOT.rar全站源码备份文件,备份韶光为2017-02-28 10:35。
通过对ROOT.rar解压缩,创造源码中存在的脚本木马与网站访问日志的可疑文件名同等(image.jsp)。
根据这几个韶光节点,我们考试测验去还原攻击者的攻击路径。
但是我们在访问日志并未找到ROOT.rar的访问下载记录,访问日志只保留了近一年的记录,而这个webshell可能已经存在了多年。
黑客是如何获取webshell的呢?
可能是通过下载ROOT.rar全站源码备份文件获取到个中存在的木马信息,或者几年前入侵并潜藏了多年,又或者是从地下黑产购买了shell,我们不得而知。
本文的示例中攻击者为我们留下了大量的证据和记录,而更多时候,攻击者可能会打消所有的关键信息,这势必会加大调查职员的取证难度。
