上周帮朋友的汽配小店看电脑,发现他们官网打不开,后台登录页却莫名跳转到赌博广告页。一查服务器日志,果然有异常 POST 请求,上传了几个 .php 文件——典型的 Webshell 入侵。这不是演习,是真事。今天就拿这个和另外两个常见场景,说说网络应急响应到底怎么做。
案例一:WordPress 站点被挂马
某本地培训机构用 WordPress 搭建报名系统,某天家长反馈表单提交后页面弹出‘证书验证失败’提示,其实那是黑客嵌入的钓鱼 JS。应急动作如下:
1. 立即停用网站(不是关服务器,而是用 .htaccess 重定向全部请求到维护页);
2. 登录服务器,检查 /wp-content/themes/ 和 /wp-content/plugins/ 下最近修改的文件(find . -name "*.php" -mtime -2);
3. 发现 /wp-content/themes/twentytwentythree/inc/backdoor.php,内容是一段 base64_decode 的 eval 执行代码。
<?php $a = "ZWNobyAiSGVsbG8gV29ybGQiOw=="; eval(base64_decode($a)); ?>删掉该文件,重置所有管理员密码,更新 WordPress 核心与主题,再用 Wordfence 扫描残留。
案例二:内网办公机批量蓝屏+勒索信
一家设计工作室 5 台电脑接连蓝屏,桌面出现 README_FOR_DECRYPT.txt。没交赎金,第一时间做了三件事:
• 断开所有网线,拔掉 Wi-Fi;
• 用另一台干净电脑下载 Windows ADK 工具包,制作离线 PE 启动盘;
• 进入 PE 环境,用 autoruns.exe 查启动项,定位到伪装成 svchost_update.exe 的恶意进程,路径在 C:\Users\Public\Documents\。
顺藤摸瓜找到它的注册表启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,键值名写的是 WindowsUpdateService,删掉后清除对应文件,恢复系统还原点(前提是还原功能没被禁)。
案例三:企业邮箱被当成跳板群发钓鱼邮件
财务部突然收到多封‘银行年审’邮件,发件人显示是自家域名 admin@xxx.com,但 IP 地址查出来是越南的 VPS。查 Exchange 日志发现:攻击者利用弱口令爆破进了一个离职员工账号,开启邮件自动转发规则到外部邮箱。
响应动作:
• 立即禁用该账号,并清空其自动转发规则(PowerShell 命令:Set-Mailbox -Identity "zhangsan@xxx.com" -ForwardingAddress $null);
• 在 EAC 后台启用 MFA 强制策略;
• 导出近 7 天外发邮件日志:Get-MessageTrace -StartDate "05/10/2024" -EndDate "05/17/2024" -SenderAddress "zhangsan@xxx.com" | Export-Csv trace.csv,通知收件方警惕。
应急不是等出事才学,就像家里备灭火器——不指望天天用,但真着火时,知道开关在哪、怎么拔销、对准根部喷,就能少损失一半。这些案例里的命令和路径,抄下来贴在工位边,比背理论管用。