应急实战(15):340个网页被挂马了

admin 2024年11月5日14:19:57评论16 views字数 753阅读2分30秒阅读模式

目录

1. Preparation
2. Detection
3. Containment
    3.1 删除恶意程序
    3.2清除挂马代码
4. Eradication
5. Recovery
6. Follow-Up
    6.1落地和变更文件分析

1. Preparation

该事件是《应急实战(14):巧妙的恶意程序》的后续,因此该部分与其相同。

2. Detection

访问网站,会自动下载、或询问是否下载文件:help.scr

应急实战(15):340个网页被挂马了

应急实战(15):340个网页被挂马了

将help.scr上传到沙箱,确认是恶意程序

应急实战(15):340个网页被挂马了

经对比哈希值,help.scr与《应急实战(14):巧妙的恶意程序》的xtgosqhl.exe是同一个恶意程序

应急实战(15):340个网页被挂马了

查看网页文件,确认被挂马了,立即启动应急

应急实战(15):340个网页被挂马了

3. Containment

3.1 删除恶意程序

在挂马的路径下找不到恶意程序help.scr

应急实战(15):340个网页被挂马了

原来help.scr被设置了隐藏属性,使用attrib可以查看

应急实战(15):340个网页被挂马了

使用everything可以全部找出来,一共63个,直接一键删除

应急实战(15):340个网页被挂马了

3.2清除挂马代码

使用sublime text搜索挂马的代码,一共找到340的网页文件

应急实战(15):340个网页被挂马了

使用replace功能,全部替换成空字符,相当于一键删除

应急实战(15):340个网页被挂马了

最后需要一键保存所有修改过的文件,这样网站才能恢复正常了

应急实战(15):340个网页被挂马了

4. Eradication

与《应急实战(14):巧妙的恶意程序》相同。

5. Recovery

与《应急实战(14):巧妙的恶意程序》相同。

6. Follow-Up

6.1落地和变更文件分析

在应急时,需要对攻击期间创建和修改的所有文件进行排查。本次挂马事件是由于《应急实战(14):巧妙的恶意程序》没有进行相关排查才导致遗漏的

应急实战(15):340个网页被挂马了

Linux系统可使用find命令排查,Windows系统可使用everything工具排查

应急实战(15):340个网页被挂马了

原文始发于微信公众号(OneMoreThink):应急实战(15):340个网页被挂马了

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月5日14:19:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急实战(15):340个网页被挂马了https://cn-sec.com/archives/3355570.html

发表评论

匿名网友 填写信息