Web 服务器发现网页被篡改如何快速定位被入侵的文件路径？

发现网页被篡改后，最稳妥的做法是立即将服务器断开外网或设为只读模式，通过对比文件修改时间和备份哈希值来锁定异常文件，同时保留现场日志以便后续溯源。

先说结论：定位被篡改文件的核心在于“对比”与“日志”，先隔离环境防止损失扩大，再基于时间戳和完整性校验找出异常点。

• 先判断：确认是单文件篡改还是整站被控，评估是否需要停机或切换维护模式
• 优先做：阻断外网连接（或防火墙限制），保留日志现场，禁止直接删除文件
• 再验证：修复后持续监控文件完整性，确认无后门残留

命令速用版

以下命令需在具有 root 权限的终端执行，操作前请确保已备份当前状态。

# 查找最近 24 小时内被修改过的文件（定位可疑文件）
find /var/www/html -type f -mtime -1 -ls# 生成当前文件哈希基准（用于后续监控，非入侵当下对比）
find /var/www/html -type f -exec md5sum {} \; > baseline_$(date +%F).txt# 检索 Web 日志中可疑的 POST 请求或危险函数调用
# Nginx 路径
grep -E "POST|eval|base64|system|exec|wget|curl" /var/log/nginx/access.log
# Apache 路径 (CentOS)
grep -E "POST|eval|base64|system|exec|wget|curl" /var/log/httpd/access_log
# Apache 路径 (Ubuntu/Debian)
grep -E "POST|eval|base64|system|exec|wget|curl" /var/log/apache2/access.log

为什么会这样

网页被篡改通常不是单一文件的问题，而是攻击者利用了漏洞获取了写入权限。常见原因包括 Web 应用漏洞（如文件上传漏洞、SQL 注入）、弱口令导致的后台入侵，或服务器组件（如 CMS 插件）存在已知漏洞。攻击者往往会留下 Webshell 以便长期控制，或者批量修改静态页面植入黑链。如果不先隔离环境直接清理，攻击者可能通过残留的后门再次写入，甚至触发逻辑炸弹删除更多数据。

分步处理

1. 隔离与止损
第一时间在防火墙层面阻断外网访问，或将服务器网卡断开。如果业务不能停机，建议切换至静态维护页面，并将 Web 目录挂载为只读（chattr +i 或 mount 选项）。不要急于重启服务器，以免内存中的恶意进程消失，增加溯源难度。

2. 定位异常文件
利用文件修改时间（mtime）快速筛选。大多数篡改发生在最近几小时内。使用 find 命令列出最近变动的文件，重点检查非预期变动的脚本文件（.php, .jsp, .asp）或静态文件（.html, .js）。

3. 分析日志
查看 Web 访问日志和错误日志。寻找在文件修改时间点附近的大流量请求、异常 POST 请求或包含敏感关键词（如 eval, system, exec, wget, curl）的 URL 参数。参考 OWASP 入侵应对指南，日志是还原攻击路径的关键证据。

4. 清理与恢复
确认恶意文件后，不要直接删除，先移动到其他目录备份（如 mv suspect.php suspect.php.bak）。使用干净的备份覆盖被篡改文件。如果无法确认备份是否干净，建议重新部署应用代码，仅迁移用户数据。

如何建立文件完整性基准

入侵发生时往往缺乏基准文件，因此日常建立基线至关重要。在系统干净时，运行以下命令生成哈希值存档：

find /var/www/html -type f -exec md5sum {} \; > /root/baseline_$(date +%Y%m%d).txt

后续检测时，可使用 md5sum -c /root/baseline_*.txt 快速比对文件是否被修改。若基准文件丢失，可下载官方源码包在本地生成哈希值进行对比。

常见 Webshell 代码片段识别

攻击者留下的后门通常包含危险函数调用。在排查 PHP 文件时，重点搜索以下特征代码：

<?php @eval($_POST['cmd']); ?>
<?php system($_GET['c']); ?>
<?php base64_decode($_POST['data']); ?>
<?php assert($_REQUEST['x']); ?>

若发现文件内容包含上述片段且非业务逻辑所需，极大概率为 Webshell。注意攻击者可能会使用变量拼接或加密函数隐藏特征。

怎么验证是否生效

恢复后，使用文件完整性监控工具（如 AIDE 或 Tripwire）建立新的基线。观察 Web 日志是否有异常请求重现。使用在线黑名单扫描工具检查网站是否仍被标记为危险。持续监控服务器 CPU 和内存占用，确认无异常进程运行。可使用 netstat -antp 检查是否有异常外连连接。

常见坑

1. 直接删除文件：可能导致攻击者触发自毁脚本，或丢失取证线索。
2. 只清理文件不修漏洞：同一漏洞会被再次利用，导致反复被篡改。
3. 忽略备份污染：如果备份本身已包含后门，恢复等于重新感染。
4. 日志被清空：攻击者常会清理日志，需检查日志文件时间点是否连续。
5. 生产环境硬断网：未评估业务影响直接断网可能导致重大损失，应优先采用防火墙策略或维护模式。

参考来源

• OWASP, "Incident Response Cheat Sheet", https://cheatsheetseries.owasp.org/cheatsheets/Incident_Response_Cheat_Sheet.html

原文链接：https://www.zjcp.cc/ask/11350.html