应急响应系列之Web实战篇(2)

(1) 打开电脑文件夹选项卡，取消”隐藏受保护的操作系统文件“勾选，把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器”。

(2) 再次查看，可以看到半透明的文件夹，清楚隐藏文件夹及所有页面

(3) 然后清除 IIS 临时压缩文件

C:\inetpub\temp\IIS Temporary Compressed Files\WEBUI$^_gzip_D^\WEB\WEBUI\UPLOAD 

(4) 投诉快照，申请删除相关的网页收录，减少对网站的影响。

第 4 篇：新闻源网站劫持

新闻源网站一般权重较高，收录快，能够被搜索引擎优先收录，是黑灰产推广引流的必争之地，很容易成为被攻击的对象。被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容，新闻源网站程序无论是自主开发的还是开源程序，都有被黑的可能，开源程序更容易被黑。

1. 现象描述：

某新闻源网站首页广告链接被劫持到菠菜网站

有三个广告专题，链接形式如下：

• http://www.xxx.cn/zhuanti/yyysc/index.shtml
• http://www.xxx.cn/zhuanti/wwwsc/index.shtml
• http://www.xxx.cn/zhuanti/zzzsc/index.shtml

点击这三条链接会跳转到博彩网站。简单抓包分析一下过程：

可以发现此时这个返回页面已被劫持，并且加载了第三方 js 文件，http://xn--dpqw2zokj.com/N/js/dt.js

进一步访问该文件：

dt.js 进一步加载了另一条js，访问：http://xn--dpqw2zokj.com/N/js/yz.js

我们发现链接跳转到https://lemcoo.com/?dt

进一步访问这个链接，网站为博彩链接导航网站，访问后会随机跳转到第三方赌博网站。

2. 问题处理：

找到 url 对应的文件位置，即使文件被删除，链接依然可以访问，可以发现三条链接都是以“sc”后缀。

对 Nginx 配置文件进行排查，发现 Nginx 配置文件 VirtualHost.conf 被篡改，通过反向代理匹配以“sc”后缀的专题链接，劫持到 http://103.233.248.163，该网站为博彩链接导航网站。

删除恶意代理后，专题链接访问恢复。

第 5 篇：移动端劫持

PC 端访问正常，移动端访问出现异常，比如插入弹窗、嵌入式广告和跳转到第三方网站，将干扰用户的正常使用，对用户体验造成极大伤害。

1. 现象描述

部分网站用户反馈，手机打开网站就会跳转到赌博网站。

2. 问题处理

访问网站首页，抓取到了一条恶意 js：http://js.zadovosnjppnywuz.com/caonima.js

我们可以发现，攻击者通过这段 js 代码判断手机访问来源，劫持移动端(如手机、ipad、Android等)流量，跳转到

https://262706.com

进一步访问 https://262706.com，跳转到赌博网站：

第 6 篇：搜索引擎劫持

当你直接打开网址访问网站，是正常的，可是当你在搜索引擎结果页中打开网站时，会跳转到一些其他网站，比如博彩，虚假广告，淘宝搜索页面等。是的，你可能了遇到搜索引擎劫持。

1. 现象描述

从搜索引擎来的流量自动跳转到指定的网页

2. 问题处理

通过对 index.php 文件进行代码分析，发现该文件代码 对来自搜狗和好搜的访问进行流量劫持。

进一步跟着 include 函数包含的文件，index,php 包含 /tmp/.ICE-unix/.. /c.jpg。

进入 /tmp 目录进行查看，发现该目录下，如 c.jpg 等文件，包含着一套博彩劫持的程序。

第 7 篇：网站首页被篡改

网站首页被非法篡改，是的，就是你一打开网站就知道自己的网站出现了安全问题，网站程序存在严重的安全漏洞，攻击者通过上传脚本木马，从而对网站内容进行篡改。而这种篡改事件在某些场景下，会被无限放大。

1. 现象描述

网站首页被恶意篡改，比如复制原来的图片，PS 一下，然后替换上去。

2. 问题处理

(1) 确认篡改时间

（编辑：ASP站长网）