文章总结： 本文详细讲解了网页篡改应急响应案例，分析针对爬虫UA的黑帽SEO攻击。通过文件修改时间锁定后门get_goods.php，结合日志溯源发现攻击者利用phpMyAdmin弱口令通过文件读写功能写入木马。建议清除恶意代码，修补弱口令，并限制MySQL读写目录以提升安全性。 综合评分： 90 文章分类： 应急响应,WEB安全,恶意软件,实战经验

【应急响应基础】九、网页篡改排查

原创

攻防灯塔安全智库

攻防灯塔安全智库

2026年1月8日 06:14 四川

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。

[ 简介 ]

网站篡改入侵排查

网页篡改是黑客通过技术手段非法修改网页内容的行为，具有传播速度快、复制容易、事后消除影响难和实时防范难的特点。该行为可能造成钓鱼欺诈、违规内容传播、暗链植入等危害，常见的攻击手段包括SQL注入、XSS漏洞利用、控制Web服务器等技术方式。

| | | — | | 本期导读 网页篡改排查 |

网页篡改排查

混子Hacker

一、网页篡改排查

1.1 排查分析

使用爬虫UA访问首页时响应内容为百度页面

排查index.php发现包含了base.php文件

排查base.php通过检索baidu关键字，发现存在恶意代码内容

首先检测UA头是否为爬虫

是的话通过file_get_contents抓取百度网页

并echo输出

根据base.php的修改时间找到同时间段的可疑文件

发现get_goods.php创建时间正好在这个时间段内

查看内容发现是一句话木马

排查apache访问日志，检索get_goods发现在首次访问前还存在test.php和phpmyadmin的访问日志，并且还访问SQL执行文件

怀疑是通过phpmyadmin写入的木马文件test.php

然后通过test.php创建了get_goods.php文件，但这里test.php被删除了无法查看test.php的内容****

访问phpmyadmin首页发现存在弱口令root/root

phpMyadmin写入木马有两种方式：

1、通过日志写入；

2、通过文件读写（需要权限和允许任意目录读写）

查看其日志配置和读取配置，发现日志没有开启，但文件读写是允许任意目录下读写的，判断攻击者通过数据库读写功能写入木马test.php

1.2 攻击溯源

整理：

1、16:47攻击者通过弱口令登录phpmyadmin2、16:48攻击者通过phpmyadmin向test.php写入木马3、16:49攻击者访问test.php并创建get_goods.php木马文件4、16:51攻击者访问get_goods.php并删除了test.php文件5、17:10攻击者篡改了base.php文件

1.3 处置加固

1、删除木马文件get_goods.php文件

2、删除base.php文件的恶意代码

3、修改phpMyadmin的密码为强密码，并配置MySQL只允许在指定目录下进行读写

| | | — | | 本专栏往期文章： 【应急响应基础】一、系统查询-Windows基础排查 【应急响应基础】一、系统查询-Windows基础排查2 【应急响应基础】二、Windows病毒排查-手动排查 【应急响应基础】三、主机排查-Linux基础排查 【应急响应基础】四、Linux病毒排查 【应急响应基础】五、入侵排查-Windows入侵排查 【应急响应基础】六、应急工具使用 【应急响应基础】七、勒索病毒排查 【应急响应基础】八、银狐病毒排查处置 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：攻防灯塔安全智库 攻防灯塔安全智库《【应急响应基础】九、网页篡改排查》