对某网站被挂黑广告源头分析

1.1对某网站被挂黑广告源头分析
任何的攻击都会留下痕迹，通过日志分析来发现漏洞，发现入侵的途径和路径，为漏洞分析和攻击溯源提供支持。在本案例中通过对日志文件的分析，成功获取后台地址，获取进入者的IP地址等信息。
1.1.1事件介绍
1.公司主站及其它站点被挂广告
某日晚上，接到一个朋友的求助，在其所有网站上发现挂有图片的非法广告，公司站点是托管在阿里云服务器上，经过程序排查，也未发现原因，经过安全加固和处理后，再次出现网站被挂广告现象，被挂页面为jpg文件，打开jpg文件后，其内容为代码文件，如图1所示，会在挂马当前目录下保存1.jpg、2.jpg、3.jpg、4.jpg、5.jpg、6.jpg、7.jpg和8.jpg文件，其中miaoshu.txt和hunhe.txt为未获取。

图1挂马文件代码
由于未对服务器现场查看具体情况，只能通过分析日志来查找原因，经过日志分析和排查，最终找到源头。因此日志分析，在安全维护和管理中至关重要。
2.阿里云服务器报警分析
如果有入侵行为，阿里云服务器会进行拦截和报警，但根据朋友的描述，未见明显异常。
3.广告系统是OpenX
经过查询OpenX（原名phpAdsNew）是一个用PHP开发的广告管理与跟踪系统，适合各类网站使用，能够管理每个广告主拥有的多种任何尺寸横幅广告，按天查看，详细和概要统计并通过电子邮件发送报表给广告主，官方网站为&#