详解网页篡改的分类和解决方式

网页篡改

网页篡改也有以下三个情况分类

常规作死型，直接替换主页文件，可能是某些黑客的恶作剧之类。

黑产相关，访问网页跳转到菠菜网站，这类一般都是利用脚本批量的扫然后自动化的修改某些文件内容，将访问重定向到目标菠菜网站。

除了直接跳转之外还有一种是网站正常访问，但是通过百度等搜索引擎搜索时候看到一些文章内容被替换了。

前两种，访问主页打开发现是黑页或菠菜网站的，需要我们先排查一下页面是否为DNS劫持影响，这一步简单的ping命令就能帮助我们完成

如果域名解析的IP地址没有问题，确实是客户IP地址资产（PS：如果遇到是CDN情况，那么看该CDN是不是用户自己的），不考虑CDN也被入侵的情况，基本能确认是网页确实是被篡改了。

针对此类型事件处理方案应该优先给用户断个网，至少先断开对外的映射，然后再本地使用D盾进行webshell查杀，对确认的木马进行删除操作（这一步先和网站管理沟通确认下，避免误删）

之后对查看web日志，通过被修改页面的修改时间，如2017-12-20 15:53这一时间段内（可以先从前后一周的范围开始筛查）的可疑访问进行筛选，结合扫描到的木马特征名称，如test.php这样的文件名特征，综合判断后确认攻击IP，然后根据攻击IP的访问记录推断出可能存在漏洞的文件，并进行代码分析和修复。

之后处理完对网站进行恢复备份即可。

另外某些情况下，可能用户并没有备份文件，此时建议使用seay源代码审计工具来对网站源码关键字进行搜索，关键字可以为referer、各个搜索引擎的ua以及对应的菠菜网站的域名，当然有可能会遇到内容加密的情况，此时的处理方式只能是根据文件修改时间来对近期改动过的文件进行排查。