应急响应系列之Web实战篇

(1) 打开电脑文件夹选项卡，打消”潜匿受掩护的操纵体系文件“勾选，把”潜匿文件和文件夹“下面的单选选择“表现潜匿的文件、文件夹和驱动器”。

(2) 再次查察，可以看到半透明的文件夹，清晰潜匿文件夹及全部页面

(3) 然后破除 IIS 姑且压缩文件

C:inetpubtempIIS Temporary Compressed FilesWEBUI$^_gzip_D^WEBWEBUIUPLOAD 

(4) 投诉快照，申请删除相干的网页收录，镌汰对网站的影响。

第 4 篇：消息源网站挟制

消息源网站一样平常权重较高，收录快，可以或许被搜刮引擎优先收录，是黑灰产推广引流的必争之地，很轻易成为被进攻的工具。被黑往后首要挂的不良信息内容首要是博彩六合彩等打赌类内容，消息源网站措施无论是自主开拓的照旧开源措施，都有被黑的也许，开源措施更轻易被黑。

1. 征象描写：

某消息源网站首页告白链接被挟制到菠菜网站

有三个告白专题，链接情势如下：

• http://www.xxx.cn/zhuanti/yyysc/index.shtml
• http://www.xxx.cn/zhuanti/wwwsc/index.shtml
• http://www.xxx.cn/zhuanti/zzzsc/index.shtml

点击这三条链接会跳转到博彩网站。简朴抓包说明一下进程：

可以发明此时这个返回页面已被挟制，而且加载了第三方 js 文件，http://xn--dpqw2zokj.com/N/js/dt.js

进一步会见该文件：

dt.js 进一步加载了另一条js，会见：http://xn--dpqw2zokj.com/N/js/yz.js

我们发明链接跳转到https://lemcoo.com/?dt

进一步会见这个链接，网站为博彩链接导航网站，会见后会随机跳转到第三方打赌网站。

2. 题目处理赏罚：

找到 url 对应的文件位置，纵然文件被删除，链接依然可以会见，可以发明三条链接都是以“sc”后缀。

对 Nginx 设置文件举办排查，发明 Nginx 设置文件 VirtualHost.conf 被改动，通过反向署理匹配以“sc”后缀的专题链接，挟制到 http://103.233.248.163，该网站为博彩链接导航网站。

删除恶意署理后，专题链接会见规复。

第 5 篇：移动端挟制

PC 端会见正常，移动端会见呈现非常，好比插入弹窗、嵌入式告白和跳转到第三方网站，将滋扰用户的正常行使，对用户体验造成极大危险。

1. 征象描写

部门网站用户反馈，手机打开网站就会跳转到打赌网站。

2. 题目处理赏罚

会见网站首页，抓取到了一条恶意 js：http://js.zadovosnjppnywuz.com/caonima.js

我们可以发明，进攻者通过这段 js 代码判定手机遇见来历，挟制移动端(如手机、ipad、Android等)流量，跳转到

https://262706.com

进一步会见 https://262706.com，跳转到打赌网站：

第 6 篇：搜刮引擎挟制

当你直接打开网址会见网站，是正常的，然则当你在搜刮引擎功效页中打开网站时，会跳转到一些其他网站，好比博彩，卖弄告白，淘宝搜刮页面等。是的，你也许了碰着搜刮引擎挟制。

1. 征象描写

从搜刮引擎来的流量自动跳转到指定的网页

2. 题目处理赏罚

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!