朝鲜世界杯_2019篮球世界杯 - dyldrk.com

应急实战(15):340个网页被挂马了

1. Preparation该事件是《应急实战(14):巧妙的恶意程序》的后续,因此该部分与其相同。

2. Detection访问网站,会自动下载、或询问是否下载文件:help.scr

将help.scr上传到沙箱,确认是恶意程序

经对比哈希值,help.scr与《应急实战(14):巧妙的恶意程序》的xtgosqhl.exe是同一个恶意程序

查看网页文件,确认被挂马了,立即启动应急

3. Containment3.1 删除恶意程序在挂马的路径下找不到恶意程序help.scr

原来help.scr被设置了隐藏属性,使用attrib可以查看

使用everything可以全部找出来,一共63个,直接一键删除

3.2清除挂马代码使用sublime text搜索挂马的代码,一共找到340的网页文件

使用replace功能,全部替换成空字符,相当于一键删除

最后需要一键保存所有修改过的文件,这样网站才能恢复正常了

4. Eradication与《应急实战(14):巧妙的恶意程序》相同。

5. Recovery与《应急实战(14):巧妙的恶意程序》相同。

6. Follow-Up6.1落地和变更文件分析在应急时,需要对攻击期间创建和修改的所有文件进行排查。本次挂马事件是由于《应急实战(14):巧妙的恶意程序》没有进行相关排查才导致遗漏的

Linux系统可使用find命令排查,Windows系统可使用everything工具排查