网络攻防学习笔记 Day73

网页篡改，即攻击者故意篡改网络上传送的报文，通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。网页篡改事件想要做到预先检查和实时防范有一定难度。

网页篡改方法包括文件操作类方法和内容修改类方法。文件操作类方法指攻击者用自己的 Web 网页文件在没有授权的情况下替换 Web 服务器上的网页，或在 Web 服务器上创建未授权的网页；内容修改类方法就是对 Web 服务器上的网页内容进行增、删、改等非授权操作。

网页篡改检测技术

1）外挂轮询技术

用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页比较，来判断网页内容的完整性，对被篡改的网页进行报警和恢复。

2）核心内嵌技术

将篡改检测模块内嵌在 Web 服务器软件中，它在每个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并及时报警和恢复。

3）事件触发技术

使用操作系统的文件系统或驱动程序接口，在网页文件被修改时进行合法性检查，对于非法操作进行报警和恢复。

网页被恶意篡改是需要相应权限才能执行的，而获取权限主要有三种方法：一是通过非法途径购买已经泄露的相应权限的服务器账号；二是使用恶意程序进行暴力破坏，从而修改网页；三是入侵网站服务器，进而获取操作权限。

1.异常端口、进程排查

初步预判为网页篡改攻击后，为了防止恶意程序定时控制和检测网页内容，需要及时发现并停止可疑进程，具体步骤如下。

（1）检查端口连接情况，判断是否有远程连接、可疑连接。

（2）查看可疑的进程及其子进程。重点关注没有签名验证信息的进程，没有描述信息的进程，进程的属主、路径是否合法，以及 CPU 或内存资源长期占用过高的进程。

2.可疑文件排查

多数的网页篡改是利用漏洞上传 Webshell 文件获取权限的，因此也可以使用 D 盾工具进行扫描。

3.可疑账号排查

对网站服务器账号进行重点查看，一方面是查看服务器是否有弱密码，远程管理端口是否对公网开放，从而防止攻击者获取密码，控制原有系统账号；另一方面是查看服务器是否存在新增、隐藏账号。

4.确认篡改时间

可以查看被篡改服务器的日志文件 access.log，确认文件篡改大致时间。