网页篡改应急响应指南
1.初步研判
打开网页后会看到明显异常:
- 网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法 App 推广内容等
- 网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等
2.隔离被感染的服务器/主机
隔离被感染的服务器/主机的目的:一是防止木马通过网络继续感染其他服务器/主机;二是防止攻击者通过已经感染的服务器/主机继续操控其他设备
- 物理隔离的方法主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接,禁用网卡,并拔掉服务器/主机上的所有外部存储设备等;
- 对访问网络资源的权限进行严格的认证和控制。常用的操作方法是加策略和修改登录密码。
对被篡改网页进行下线处理。根据网页被篡改的内容及影响程度,有针对性地进行处置,如果影响程度不大,篡改内容不多,那么可先将相关网页进行下线处理,其他网页正常运行,然后对篡改内容进行删除恢复ÿ