V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
simonlu9
V2EX  ›  站长

求助 网站被劫持,每天第一次打开跳转棋牌网站,

  •  
  •   simonlu9 · 296 天前 · 2261 次点击
    这是一个创建于 296 天前的主题,其中的信息可能已经有所发展或是发生改变。

    求助大家有什么好的检测工具,pc 访问是没问题的,移动端每天第一次访问就跳去棋牌广告,检查过代码是没问题,抓包的时候也不会,实在想不到好的方法

    第 1 条附言  ·  295 天前
    已解决,谢谢大家,有一个 js 被注入了,特别感谢大佬 yumusb
    27 条回复    2024-02-02 13:55:48 +08:00
    ntedshen
        1
    ntedshen  
       296 天前
    挂个 http 代理 pc 上看。。。
    或者挂个 chrome 远程调试。。。

    话说怎么感觉是手机问题。。。
    simonlu9
        2
    simonlu9  
    OP
       296 天前
    @ntedshen 试过,一挂代理或者远程调试就不会跳转
    xuing
        3
    xuing  
       296 天前
    把手机的 UA 记下来,在 PC 上就可以复现了。其实你直接去看后台吧,肯定是被插马了,看看文件修改日期。先看看服务器怎么被入侵的。
    WoneFrank
        4
    WoneFrank  
       296 天前 via iPhone
    你用手机挂代理去访问,这种多半是前段 js 里面有判断代码。可以根据 url 搜索 html ,js 文件,不过这种动态生成就没办法了。
    WoneFrank
        5
    WoneFrank  
       296 天前 via iPhone
    @WoneFrank 打错了,前端 js
    Rache1
        6
    Rache1  
       296 天前
    用了 CDN 的 JS ?
    ultimate42
        7
    ultimate42  
       296 天前
    是不是叫什么真人三公 我网站也中招了
    simonlu9
        8
    simonlu9  
    OP
       296 天前
    @Rache1 没有,用的都是 js 保存到服务器,
    @xuing 试过,都排查过了,我搜了文件内容 location.href,也没有
    simonlu9
        9
    simonlu9  
    OP
       296 天前
    @xuing 手机的 UA 记下来,在 PC 上就可以复现了,没用
    simonlu9
        10
    simonlu9  
    OP
       296 天前
    @ultimate42 开元棋牌
    x86
        11
    x86  
       296 天前
    51la 统计?
    ultimate42
        12
    ultimate42  
       296 天前
    搜下 eval 关键字呢
    ntedshen
        13
    ntedshen  
       296 天前
    @simonlu9 wireshark 的 androiddump 按理讲浏览器是看不到的。。。
    或者要不起个 https 或者换个手机看看先?
    simonlu9
        14
    simonlu9  
    OP
       296 天前
    pandaPapa
        15
    pandaPapa  
       296 天前
    浏览器禁用下 js 看还跳转不, 如果还跳转很大很能是 meta 标签跳转的, 没之前的代码的, 整理覆盖下呢?
    dfkjgklfdjg
        16
    dfkjgklfdjg  
       296 天前
    也有可能是 nginx 之类的。不一定非是前端部分。
    yumusb
        17
    yumusb  
       296 天前   ❤️ 2
    开个 ssh 让我上去看看

    之前帮坛友 解决问题的记录
    https://v2ex.com/t/979950
    ysc3839
        18
    ysc3839  
       296 天前 via Android
    先发链接来看看吧
    Li83Xi7Gai4
        19
    Li83Xi7Gai4  
       296 天前
    上 https 吧
    Features
        20
    Features  
       296 天前
    明显的 XSS 啊,从网站内容排查看看
    MFWT
        21
    MFWT  
       296 天前
    估计是被挂马(包括但不限于后端定时注入跳转 JS/meta 标签,存储型 XSS )了
    ultimate42
        22
    ultimate42  
       296 天前
    我是 php 文件被注入了 meta 和这段 js 跟你一样 一到移动端就自动跳转了 我这个还挺明显的 代码就在 head 里
    因为是公司的古董项目,我也不会 php 就把这段代码删掉完事 不知道后面还会不会再出现

    https://gist.github.com/10816187/6145daaf6991d7ac567e9415b6b5725d
    simonlu9
        23
    simonlu9  
    OP
       296 天前
    @yumusb 绿色软件 bHVqaWFud2U5NTc3
    yumusb
        24
    yumusb  
       296 天前   ❤️ 3
    秒了,首页引入的 JS 被插入了一句话用来引入一个全新的 JS ,里面的内容是 https://pastebin.com/J9AHf4DT
    huangzxx
        25
    huangzxx  
       296 天前
    换其他证书试试,不用 Let's Encrypt 。
    看到你是套 cloudflare ,试试切到 Google Trust Services
    Fuor
        26
    Fuor  
       295 天前
    @yumusb #24 可以再复盘一次了
    marvincible
        27
    marvincible  
       295 天前
    代码是网上找的 php 模板吧,我也遇到过,web 文件夹先杀一遍,有些源码自带木马。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2907 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:12 · PVG 08:12 · LAX 16:12 · JFK 19:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.