事件起因
事件背景
-
目标站点是国内一家有影响力的综合技术网站。
-
通过网管人员及技术人员多次排查均告失败或者未能解决问题。
网站不断被人疑似挂马,在其所有网站上发现挂有图片的非法广告,公司站点是托管在阿里云服务器上,经过排查程序,也未发现原因,经过安全加固和处理后,再次出现网站被挂广告现象,被挂页面为jpg文件,打开jpg文件后,其内容为代码文件,会在挂马当前目录下保存1.jpg、2.jpg、3.jpg、4.jpg、5.jpg、6.jpg、7.jpg和8.jpg文件,其中miaoshu.txt和hunhe.txt为未获取。
本案例通过对日志文件的分析,成功获取后台地址,获取进入者的IP地址等信息。
图片中包含恶意代码
获取日志文件
远程协助排查
-
无法到服务器现场进行排查,通过打包日志下载进行分析,经过日志分析和排查,最终找到源头。因此日志分析,在安全维护和管理中至关重要。
-
需要技术提供异常或者可疑日志文件
网管:阿里云服务器报警分析,如果有入侵行为,阿里云服务器会进行拦截和报警,但根据朋友的描述ÿ