018年8月，某水務集團遠程數據監測平臺遭到黑客攻擊，致使網頁被篡改。事件發生后，警方第一時間派出網絡安全應急處置小組到該中心網站所在地進行處置和調查。經查，該水務集團網絡安全意識淡薄，網絡安全管理制度不健全，網絡安全技術措施落實不到位，未留存6個月以上的網絡日志。當地公安機關依據《網絡安全法》第五十九條第一款之規定，給予該水務集團80000元罰款的行政處罰，同時分別對三個部門相關責任人李某、張某、李某給予15000元、10000元、10000元罰款的行政處罰。

究竟什么是網頁篡改

它又有何危害呢

網頁篡改是指用戶使用瀏覽器訪問網頁時被病毒或者其他原因篡改，也指企事業單位網站被不法分子入侵后篡改。網頁篡改存在的問題有幾種：

1

釣魚：釣魚是指頁面仿冒某知名網站，讓用戶以為是正規網站，給用戶造成損失。

2

違規內容：內容存在違法信息，或者出于違法的灰色地帶。

3

欺詐：頁面中存在欺騙用戶、虛假的內容。

4

暗鏈：暗鏈是網頁篡改的一種，通常是黑客利用網站安全漏洞入侵網站后留下的一些在網頁頁面上不可見的超鏈接，這些超鏈接用于欺騙搜索引擎提高所鏈向的網站排名，一般情況下暗鏈主要嵌入在網站首頁。

5

漏洞：網站如果存在SQL注入、XSS跨站腳本、信息泄露等安全風險，黑客可能會利用這些漏洞導致網站被黑，給網站造成損失。

2017年，國家互聯網應急中心監測發現我國境內約2萬個網站被篡改，其中被篡改的政府網站有618個。從網頁被篡改的方式來看，被植入暗鏈的網站占全部被篡改網站的比例為68％，仍是我國境內網站被篡改的主要方式。

網頁篡改仍處高發階段

攻擊技術手段

攻擊者一旦發現有漏洞的平臺，往往會自動化其攻擊過程，迅速掃描網絡，找尋類型相同的目標。很多大規模篡改者都使用Metasploit滲透測試框架，有些黑客團伙會根據自身需求在Metasploit或其他黑客工具的基礎上創建定制腳本。

網頁篡改的途徑

1

SQL注入后獲取Webshell

黑客通過web應用程序的漏洞，通過SQL語句提交非法的語句到數據，通過系統以及第三方軟件的漏洞獲取web的控制權限或者服務器權限。

2

XSS漏洞引入惡意HTML界面

被動的跨站攻擊可以在合法的地方引入非法的HTML或者JS代碼，從而讓訪問者“正常”的改變頁面內容。例如：校內網蠕蟲。

3

控制了Web服務器

攻擊者可能通過服務器或者第三方的漏洞，獲取了服務器權限、數據庫管理權限進而修改頁面。

4

控制了DNS服務器

攻擊者對網站的域名服務器進行滲透，獲取了域名的解析權限，改變了解析地址以達到篡改的效果。

5

遭遇了ARP攻擊

攻擊者可能會針對web服務器所在的外段進行攻擊，當掌握了同網段某臺機器以后對web服務器所在的主機發送ARP欺騙包，引誘訪問者或者web服務器指向其他頁面以達到篡改效果。

路由器被劫持導致的網頁篡改

網頁篡改攻擊事件特點

1、篡改網站頁面傳播速度快、閱讀人群多；

2、復制容易，事后消除影響難；

3、預先檢查和實時防范較難；

4、網絡環境復雜難以追查責任，攻擊工具簡單且向智能化趨勢發展。

防范措施

企業用戶

企業用戶可以購買相關防篡改網站系統或軟件，對于非法入侵的防護能力更強。

防篡改系統工作原理

個人用戶

個人用戶需要養成良好的電腦使用習慣，不要安裝、點擊或訪問非正規網站的鏈接。及時安裝Windows的安全更新，安裝具有防護功能的PC端軟件，防止部分網頁被篡改。

還

沒

結

束

2019年至今，梅州網警在開展網絡安全執法檢查中發現多起網頁篡改事件，涉及行業包括教育，黨政機關，事業單位，國有企業等網站。

安全提醒

梅 州

網 警

各個單位應定期做漏洞檢測，做好網站安全防護措施。對于不再使用的域名各個單位應注意及時在工信部和公安部同時注銷網站，避免出現域名搶注的情況。

覽網頁時，各類廣告彈窗、垃圾信息鋪天蓋地跳出來，讓人心生厭惡。這些彈窗到底來自哪里？近日，由崇川區檢察院提起公訴的被告人張某因犯非法控制計算機信息系統罪，被法院一審判處有期徒刑三年六個月，并處罰金人民幣三萬元。

張某現年31歲，老家在河北保定。雖然是機電畢業生，但是張某卻對計算機專業更感興趣。2017年張某自費報名到培訓機構學習網站開發等技術，并在家刻苦鉆研信息技術。2019年，張某正式成為一名信息技術自由職業者，并從一個專門提供軟件開發、網站開發、App開發等任務的平臺上自己接任務，賺取報酬。

2021年夏天，張某在某平臺結識一個QQ昵稱叫“陳大”的人，“陳大”找他做網站相關的項目。由于張某業務能力強，“陳大”開始不斷找張某做項目，并按月支付張某勞動報酬，二人就此開始了長期合作。

起初，張某接的都是合法單子，但漸漸的， “陳大”交給張某的任務開始“不對勁”。2021年11月以來，張某按照“陳大”的要求，利用技術手段非法入侵南通多家單位網站，非法獲取網站服務器后臺瀏覽、增加、刪除、修改等權限，使用控制工具，通過修改目標網站服務器HTML文檔的參數、標題、關鍵詞、描述，將添加了賭博網站推廣引流站群并設置自動跳轉功能的靜態網頁，上傳加載至目標網站服務器，以提高賭博網站推廣引流站群被搜索引擎命中幾率。上網的人只要不小心點擊這些“飄來飄去”的網頁，就會直接進入賭博網站。

截至2022年2月，張某使用非法手段控制了1000余臺計算機信息系統，其本人非法獲利23萬余元。經被害單位報案，張某在河北老家被公安機關抓獲。現場，偵查人員從張某使用的電腦里提取到大量涉案電子數據。

2024年3月19日 ，張某因涉嫌非法控制計算機信息系統罪，被崇川區檢察院起訴。張某如實供述犯罪事實并認罪認罰，獲如上判決。

揚子晚報網/紫牛新聞記者 劉瀏

校對 王菲

頁篡改簡介

? 網頁篡改，即攻擊者故意篡改網絡上傳送的文件，通常以入侵系統并篡改數據、劫持網絡連接或插入數據等形式進行

? 網頁篡改一般有兩種：顯式和隱式。顯式網頁篡改指攻擊者為炫耀自己的技術技巧，或表名自己的觀點實施的網頁篡改；隱式網頁篡改一般是在網頁中植入色情、詐騙等非法鏈接，再通過灰色、黑色產業牟取非法經濟利益

? 攻擊者為了篡改網頁，一般需要提前找到并利用網站漏洞，在網頁中植入后門，并最終獲取網站控制權

網頁篡改——模擬攻擊

? 正常的公司首頁

? 經過掃描發現目錄下存在文件上傳：upload.php，并且可以上傳木馬程序

【——全網最全的網絡安全學習資料包分享給愛學習的你，關注我，私信回復“領取”獲取——】

1.網絡安全多個方向學習路線

2.全網最全的CTF入門學習資料

3.一線大佬實戰經驗分享筆記

4.網安大廠面試題合集

5.紅藍對抗實戰技術秘籍

6.網絡安全基礎入門、Linux、web安全、滲透測試方面視頻

1、發現公司網站存在文件上傳的頁面，嘗試上傳 webshell 可以成功

2、使用蟻劍連接 webshell 成功

3、在蟻劍中，修改公司首頁的代碼，在index.html中插入js代碼，在頁面中插入暗鏈

<script type="text/javascript">

var search=document.referrer;

if(search.indexOf("baidu")>0||search.indexOf("bing")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("sogou")>0)

self.location="http://www.4399.com/";

</script>

? 在頁面中插入暗鏈后，只要 referer 中存在 baidu、google、sogou等的都會轉到

www.4399.com 頁面

? 也就是在以上這些搜索引擎中搜索到該站點，點擊后，就自動會跳轉到另一個站點

應急響應——事件處置

1、服務器可疑進程分析

? 使用 PCHunter、Procexp64 等工具對進程、服務、啟動項、任務計劃進行分析，未發現可疑進程

2、網站后門木馬查殺

? 通過對網站目錄進行后門木馬查殺，發現網站目錄下存在一句話木馬文件，名為

default.php，上傳時間為xxx （工具 D盾、河馬等）

3、可疑用戶分析

? 經過查看后，發現服務器存在隱藏用戶 test$

? 通過計算機管理或者注冊表中查看隱藏用戶

4、日志分析

? 查看 Apache 相關日志，查看是否有異常訪問的日志

5、結論

? 公司首頁被植入暗鏈

? 攻擊者疑似通過文件上傳漏洞，上傳木馬程序，然后在首頁源碼中插入暗鏈，使得用戶從各大搜索引擎進入首頁的時候，跳轉到另一個站點

應急響應——根除與恢復

1、刪除暗鏈代碼，如果網站源碼有備份的話，直接從備份中還原

2、刪除可疑目錄下的webshell，刪除 default.php文件，全盤查殺病毒以及 webshell

3、刪除隱藏用戶、修改主機用戶密碼、數據庫密碼、網站后臺密碼等

4、進行滲透測試，查找系統漏洞，修補漏洞