#安全# web系统入侵取证分析

一、概要收到客户的应急需求，通过百度访问公司主页就会跳转到恶意的网站，立即对客户的系统进行分析取证，经过分析，得出如下结论：
此次攻击目的是利用黑帽SEO方式在其公司主页上插入恶意JavaScript代码，并针对百度等搜索引擎进行网站推广

二、取证梳理

查看客户的网站，发现在8088端口挂着一个特别古老的dedecms，我好像瞬间懂了些什么，要到后台权限后登录主机进行取证，一眼望去，嚯！这不是跑马场吗，在Upload目录，images目录哪里都是攻击者留下的webshell，对每个目录进行一一排查，找到了如下的webshell。

/web/uploads/allimg/180525


/web/install~~~@/images



/web/tuozhuofadianji/images/style1



/web/a/lianxiwomen



/web/m/assets/fonts



根据从baidu搜索引擎进入主页从而跳转到波菜站点现象，查看源代码发现其主页已被篡改。





解码JS中的代码，发现是从“https://sfhufh2.com/6860.js”下载推广JS，跳转到https://1325033.com网站



三、整改建议1. 删除主页中的黑彩JS代码

2 对服务器进行排查，查杀所有webshell木马

3. 修改后台密码，避免使用弱口令

4. 更新dedecms与ckeditor到最新版

[backcolor=rgba(211, 211, 211, 0.86)][size=1.2em]Text.

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

谢谢大佬分享，每日打卡。。。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~