7-14
|
33
|
0
|
|
hola

394 字
|
2 分钟

网页挂马排查思路

第一步:定位恶意代码位置

挂马代码通常被注入到网站的静态页面或数据库中

  • 查看网站源代码
    • 比对原始文件:从备份中恢复网站的原始文件,然后与当前服务器上的文件进行比对。使用 diffBeyond Compare 等工具可以快速找出被修改过的文件
    • 查找可疑关键字:在网站所有文件中搜索一些可疑的 HTML 标签或 JavaScript 代码,例如:
    • <script> 标签指向外部可疑域名
    • <iframe> 标签,通常是 display:none 或宽高为0,用于隐藏恶意页面
    • evaldocument.write 等可能用于动态加载恶意脚本的函数
  • 检查数据库:如果网站内容是动态生成的,攻击者可能会修改数据库中的字段(如文章内容、广告位),注入恶意代码
    • 检查数据库备份:将数据库备份恢复到本地进行分析,与当前数据库进行比对
    • 搜索恶意代码:在数据库的 contentdescription 等字段中搜索 <script><iframe> 等关键字。
  • 分析日志文件
    • Web日志:检查 Web 服务器的访问日志(access.log),看是否有异常的 POST 请求,这可能与数据库注入有关
    • 操作系统日志:检查操作系统的事件日志,看是否有异常的登录或文件修改记录