网站被篡改详细处理方法

 

 

1、网站被篡改主要有哪几种具体体现？

首页被篡改

挂黑链

快照劫持了，根据不同IP访问不同的页面，所以导致了自己的快照被劫持。

 

2、如何发现网站被篡改

网站安全实时监测

 

如何确认网站被篡改了什么内容？

文件完整校验，把所有网站文件计算一次hash值保存，然后再执行和上次的hash值进行对比，输出新创建的 修改过 及删除的文件列表

源码在这里：https://github.com/xuerhuo/PhpFileMonitoring

 

 

3、应急响应措施

断网，尽可能的保护服务器现有证据，做服务器硬盘镜像备份，磁盘镜像，然后搭建镜像虚拟机，通过在镜像虚拟机做一些操作去溯源。

在服务器镜像中还原出已被删除的文件,关联分析确认可疑文件，证据链深度挖掘，还原攻击路径和攻击来源。

 

网站源码：

webshell查杀，发现可疑木马，木马分析

寻找可能存在的web安全漏洞，比如网站使用的框架、CMS漏洞等

 

日志分析：

网站访问日志：

系统安全日志：

 

 

网站备份保存数据

建议数据库每天备份一次，文件每周备份一次，可以尝试网站自动备份工具。

 

处理措施：

删除脚本木马

日志和完整性校验，十分重要，如果上传多个木马隐藏，若没有完整性校验就很难找出来所有的后门。

另外备份也很重要，可疑还原代码。

部署网页防篡改

 

为了避免由于网页被篡改而带来严重的危害，应该优先考虑做好技术防范工作，阻止网页被篡改或将危害降到最低，主要可采取以下技术手段：
1）为服务器升级最新的安全补丁程序：补丁包含操作系统、应用程序、数据库等，都需要打上最新的安全补丁，这个步骤是非常必要的，因为是程序内部的问题，是安全产品难以替代的，主要是为了防止缓冲溢出和设计缺陷等攻击。

2）封闭未用但开放的网络服务端口以及未使用的服务：
对于Windows server 2003操作系统，推荐使用TCP/IP筛选器，可以配合Windows server 2003系统防火墙，当然也可以通过操作比较复杂的IP安全策略来实现；
对于Linux操作系统，可以用自带的IPTable防火墙。
一般用户服务器上架前，会为用户服务器做好服务器端口封闭以及关闭不使用的服务，但不排除部分维护人员为了简便日常维护工作而开启，本工作是一个非常简单的任务，但会大大降低服务器被入侵的可能性，请务必实施。
3）设置复杂的管理员密码：无论是系统管理员、数据库管理员，还是FTP及网站管理员的密码，都务必要设置为复杂密码，原则如下：
不少于8位；至少包含有字母大写、字母小写和数字及特殊字符（@#!$%^&()等）；不要明显的规律。
4）合理设计网站程序并编写安全代码：网站目录设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置，尽量不要采用第三方不明开发插件，将网站的程序名字按照一定的规律进行命名以便识别；编写代码过程重要注意对输入串进行约束，过滤可能产生攻击的字符串，需要权限的页面要加上身份验证代码。
5）设置合适的网站权限：
网站权限设置包括为每个网站创建一个专属的访问用户和网站目录文件的权限；网站目录文件权限设置原则是：只给需要写入的目录以写的权限，其它全为只读权限；
6）防止ARP欺骗的发生：
安装arp防火墙，并手动绑定网关mac地址。
手动绑定网关mac地址，网关mac地址，可以通过arp命令来查询。

（二）、必要的管理制度和应急处理措施
上文重点从技术的角度分析了最有效解决网页被篡改的安全方案，即我们首先应该把精力投入到做好防护工作上去，尽可能做到不让黑客劫持我们的网络、不让黑客入侵到我们的服务器中去，自然也就解决了网页被篡改的问题，但是作为不备之策，我们仍然强调必须做好以下几个方面的工作：
1）网站数据备份：我们必须做好数据备份工作，因为无论是黑客入侵、硬件故障等问题都可导致数据丢失，但我们可以用备份尽快的恢复业务，所以一定制订好持续的数据备份方案。
2）安全管理制度：任何技术手段的实施，如：打安全补丁、网站权限设置、复杂的密码、防火墙规则等，都需要人来进行完成，若没有良好的制度来指导和管理，那么一切都将是空话，因此，制订好一套行之有效的制度，并配备相关的实施人员，把技术手段贯彻下去是非常必要的。
3）应急处理措施：即便是再好的技术和管理，也不能保证攻击事件不会发生，因此我们要时刻做好网页被篡改的准备，准备好相应的检查、记录和恢复工具，准备好规范的应急步骤，一旦发生，以便有条不紊的尽快予以恢复，并进行记录和总结，必要的可保护现场并进行报案等处理。

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。