服务器的网站被挂广告
一、事件介绍
某日晚上,接到一个朋友的求助,在其所有网站上发现挂有图片的非法广告,公司站点是托管在阿里云服务器上,经过程序排查,也未发现原因,经过安全加固和处理后,再次出现网站被挂广告现象,被挂页面为jpg文件,打开jpg文件后,其内容为代码文件,由于未对服务器现场查看具体情况,只能通过分析日志来查找原因。
二、阿里云服务器报警分析
如果有入侵行为,阿里云服务器会进行拦截和报警,但根据朋友的描述,未见明显异常。
三、广告系统分析
经过查询,OpenX(原名phpAdsNew)是一个用PHP开发的广告管理与跟踪系统,适合各类网站使用,它能够管理每个广告主拥有的多种任何尺寸横幅广告,按天查看详细和概要统计并通过电子邮件发送报表给广告主。
四、广告系统漏洞分析
1、OpenX 'flowplayer-3.1.1.min.js'后门漏洞(CVE-2013-4211):此漏洞源于已损坏的OpenX Source 源代码包内存在后门,被利用后可导致执行任意PHP代码。
2、openx 2.8.10 /lib/max/Delivery/common.php 后门漏洞。
3、OpenX banner-edit.php脚本任意文件上传漏洞:Seebug网站称OpenX的banner-edit.php脚本允许向webroot中的文件夹上传带有任意扩展名的文件,通过上传包含有GIF标记串的特制PHP脚本就可以导致执行任意PHP代码。
4、OpenX 2.6 (ac.php bannerid) 远程SQL盲注漏洞。
5、OpenX admin/campaign-zone-link.php SQL注入漏洞:OpenX 2.8.10及其他版本在admin/campaign-zone-link.php的实现上存在安全漏洞,利用这些漏洞可允许攻击者窃取Cookie身份验证凭证、控制应用、访问或修改数据、利用其他数据库漏洞。
五、广告系统进行漏洞测试
确认版本:从网上下载一个OpenX广告系统,通过对其广告系统..com进行访问,在线网站比对本地文件:“README.txt”(http://..com/README.txt)和“UPGRADE.txt”(http://..com/UPGRADE.txt),获取其系统的版本为2.8.9版本。
测试漏洞存在页面文件:对前面网上公开的漏洞url进行测试,未发现问题。
测试跨站被拦截:在目标站点测试跨站,可以看到被WAF防火墙拦截。
六、日志文件分析
使用类linux系统对日志文件进行查询,由于给的日志文件(1G以上)个头比较大,使用编辑器无法正常打开,在本案例中使用PentestBox,分别执行以下命令:
cat *.log | grep "user" >user.txt cat *.log | grep "password" >password.txt cat *.log | grep "username=" cat *.log | grep "password="
使用notepad程序分别查看前面生成的user.txt和password.txt,获取其管理员登录广告系统的用户名、密码及IP地址信息。
七、最终分析
通过对OpenX所有漏洞进行分析,未发现被攻击目标系统被成功利用痕迹,通过日志文件分析,获取其后台管理口令为弱口令,猜测入侵者是通过破解后台弱口令进入系统,从本案例中可以看到在大型公司网站系统管理中,也会出现使用公司名称+年份的口令,这种口令可以进行社工猜测和暴力破解,是渗透的一种思路和方法。
相关问题与解答
问题1:如何防止网站被挂广告?
答:为了防止网站被挂广告,可以采取以下措施:
1、定期更新网站和服务器的安全补丁。
2、使用强密码和多因素认证来保护后台管理账户。
3、安装并配置Web应用防火墙(WAF)来拦截恶意请求。
4、定期备份网站数据以防止数据丢失。
5、监控网站的访问日志以及时发现异常活动。
6、限制上传文件的类型和大小以防止恶意文件上传。
7、使用HTTPS加密传输来提高数据传输的安全性。
8、对用户输入进行严格的验证和过滤以防止SQL注入等攻击。
9、定期扫描网站以发现潜在的安全漏洞并进行修复。
问题2:如果网站已经被挂广告怎么办?
答:如果网站已经被挂广告,可以采取以下步骤进行处理:
1、立即隔离受感染的服务器以防止进一步传播。
2、删除所有可疑的文件和目录。
3、更改所有相关的密码和密钥。
4、审查并修复安全漏洞以防止再次发生类似事件。
5、通知用户关于安全事件的详细信息以及他们应该采取的措施(如更改密码)。
6、如果有必要,可以联系专业的安全团队或执法机构进行调查和取证工作。
各位小伙伴们,我刚刚为大家分享了有关“服务器的网站被挂广告”的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/650539.html
微信扫一扫 