1、异常现象确认
客户反馈访问公司网站首页，会跳转到违规网站。根据问题现象，展开排查。
访问公司首页，会跳转到违规网站。

2、溯源分析过程
2.1、事件排查
根据跳转到的博彩页面显示的域名，使用Notepad++在C盘中查询含有违规恶意域名www.hzwx.com的文件

查询结果如下如所示：

对查询到的信息，到对应含有恶意域名的文件中进行查看，发现Conn.asp文件中存在恶意域名和执行跳转代码：

<% Response.Redirect("http://www.hzwx.cn")Response.End %>

通过查看Conn.asp文件的修改时间为：2021年6月26日17点33分

删除对应的恶意内容信息，对网站进行恢复操作

访问网站首页，业务恢复正常

2.2、溯源分析
在2021年6月26日17点23分左右，192.168.100.253使用远程成功桌面登录服务器
登录类型为：10（远程交互），攻击者IP地址为：192.168.100.253


在2021年6月26日17点45分左右，攻击者192.168.100.253中断连接

使用Systeminfo命令，查看系统中也缺少永恒之蓝等重要漏洞补丁kb

使用D盾扫描工具进行全盘查杀，发现存在webshell后门代码

查看网站站点的web日志，最后日志保存时间为：2021年6月26日17点34


从web日志中分析发现大量HEAD请求，推测攻击IP 192.168.100.253使用扫描工具于2021-06-26 09:29:30对网站进行了目录扫描操作

目录扫描扫描攻击持续到2021-06-26 09:29:43停止扫描操作

攻击者192.168.100.253，从2021-06-26 09:29:52开始对站点登录后台尝试登录


查看访问日志，登录失败后会进入到报错页面


判断在 2021-06-26 09:30:39 左右攻击者使用可能成功爆破出的admin/***弱口令登录成功，跳转到后台系统页面


2021-06-26 09:31:45 在站点后台，”网站配置”修改了网站名称，对应的站点文件为config.asp，并多次访问此文件


进入到站点目录下，查看config.asp文件，确认被植入了一句话后门木马，显示最近修改时间为2021年6月26日 17：31分


对修改的恶意代码进行删除

推测攻击者192.168.100.253通过目录扫描到后台登录页面，再利用弱口令成功登录后台，对配置信息进行尝试，使用闭合引号插入webshell代码–在【网站配置】-【网站名称】文本框中插入后门代码
如下进行复现操作：插入测试代码"%><%response.write("123")%><%'

打开Config.sap文件发现成功把测试后门代码插入到了相关位置

访问config.asp，代码可正常识别成功并执行输出“123”

恢复文件内容，删除恶意代码

3、应急响应事件结论

现象/问题：客户反馈访问网站首页会跳转到违规网站，排查发现Conn.asp文件内容被篡改，插入了违规页面的跳转代码，访问网站时会跳转到http://www.hzwx.cn/。

处置情况：删除源代码中删除恶意域名及后门代码等

结论：通过查看web日志和安全日志，发现攻击者192.168.100.253首先在2021-06-26 09:29:30对后台系统进行目录扫描，于2021-06-26 09:29:43停止扫描，随后对发现到后台登录页面进行测试登录，利用账号密码弱口令在2021-06-26 09:30:39成功登录系统后台页面，通过使用引号闭合修改了站点文件config.asp，插入了webshell后门代码，随后对Conn.asp文件进行恶意代码添加，使用户访问首页跳转到违规网站。

eg：本次事件响应均为靶场环境中进行，如有不足之处还望各位师傅指出改正~