1.1对某网站被挂黑广告源头分析
任何的攻击都会留下痕迹,通过日志分析来发现漏洞,发现入侵的途径和路径,为漏洞分析和攻击溯源提供支持。在本案例中通过对日志文件的分析,成功获取后台地址,获取进入者的IP地址等信息。
1.1.1事件介绍
1.公司主站及其它站点被挂广告
某日晚上,接到一个朋友的求助,在其所有网站上发现挂有图片的非法广告,公司站点是托管在阿里云服务器上,经过程序排查,也未发现原因,经过安全加固和处理后,再次出现网站被挂广告现象,被挂页面为jpg文件,打开jpg文件后,其内容为代码文件,如图1所示,会在挂马当前目录下保存1.jpg、2.jpg、3.jpg、4.jpg、5.jpg、6.jpg、7.jpg和8.jpg文件,其中miaoshu.txt和hunhe.txt为未获取。
图1挂马文件代码
由于未对服务器现场查看具体情况,只能通过分析日志来查找原因,经过日志分析和排查,最终找到源头。因此日志分析,在安全维护和管理中至关重要。
2.阿里云服务器报警分析
如果有入侵行为,阿里云服务器会进行拦截和报警