网站页面被非法修改，是的，就是一打开网页就晓得自个的公司网站出現了安全风险，网站源代码存有比较严重的漏洞，网络攻击者利用提交代码木马程序，进而对公司网站内容完成修改。而这类修改恶性事件在一些情景下，会被无尽扩大。

状况叙述

网站页面被恶意修改，例如复制粘贴原先的照片，PS一下下，紧接着替换成进去

网站被篡改的问题解决

1、确定修改日期

利用对被修改的照片完成检查，确定照片修改日期为2019年05月21日21:28:05。

2、网页访问系统日志追溯到

利用图片修改的时间范围，找出异常lP：113.xxx.xxx.24（代理lP，没办法追溯到真实来源），网页访问opencv.jsp（代码木马程序），并紧接着网页访问了被修改的图片地址。

更进一步核查全部的系统日志文件(系统日志储存日期从2019-05-20至2019-05-21)，找出总共仅有2次网页访问opencv.jsp文件的计录，分别为是2019-05-21和2019-09-21。

opencv.jsp在2019-09-21以前就早已上传到阿里服务器，早已潜伏将近大半年多乃至更久的日期。

3、找寻实情

我们在公司网站网站根目录发现了答案，找出网站文件目录下存有ROOT.rar整站源代码备份数据，云备份日期为2019-02-2810:37。

利用对ROOT.rar压缩包解压，找出源代码中存有的代码木马程序与网页访问系统日志的异常文件夹名称相同（opencv.jsp）。

依据这好多个时间范围，我们试着去复原网络攻击者的进攻相对路径。

可是我们在网页访问系统日志尚未找出ROOT.rar的网页访问下载计录，网页访问系统日志只保存了近1年的计录，而这种webshell很有可能早已存有了很多年。

黑客是怎样获得webshell的呢？

很有可能是利用下载ROOT.rar整站源代码备份数据获得到当中存有的木马程序信息内容，或是两年前侵入并潜伏了很多年，又或是是从地下灰产订购了shell，我们不为人知。

这篇文章的实例中网络攻击者为我们遗留下了很多的证据和计录，而更多情况下，网络攻击者很有可能会清理全部的至关重要信息内容，这必定会增加调察技术人员的调查取证难度系数。