网站被挂马紧急响应及恢复

某天，正安逸地划水，忽然收到情报，公司某网站被黑了。惊得我一跳，这可不是一件小事

1、安全排查

赶忙搜索了一下网站关键词，标题已经被篡改了

点进去，加载缓慢，并自动跳转到了某博彩网站

查看网站源代码，能够看到有多处异常

在线编码转换，对应上了被篡改的内容

关系到公司形象，事态危急，须要赶忙联系资产管理员进行恢复

通过了解这个项目上线后就没有再进行过更新，事实上已经没有人维护了

经过管理员登陆到windows应用服务器后，把网站项目文件下载到本地进行Webshell查杀，发现被植入大量木马后门

对系统进行杀毒扫描，暂未发现问题

查看系统日志，有暴力登陆的行为

查看登陆记录详细信息，发现诸多高危IP

nmap发现开放过多端口，其中不乏高危端口

排查网络链接、进程等暂未发现问题，就不详述了

2、网站恢复

1）在主机防火墙入站规则上关闭与业务无关端口

 

2）由于以前网站项目文件作过备份，webshell扫描没有问题后直接替换掉如今文件

3）网站已经恢复，但在搜索引擎上看到的仍然是以前被篡改的标题，点进去网站是正常的，但搜索结果上展现的仍是以前的快照内容，能够经过投诉快照（百度投诉快照服务暂停维护）进行更新

4）安装主机防御终端，对入侵行为进行告警和阻断