这是一个创建于 60 天前的主题,其中的信息可能已经有所发展或是发生改变。
项目结构是 php ,用宝塔部署的,代码已经查杀过了,没有发现可疑代码,放到本地运行就正常,但是一放到服务器,就会出现这个问题,好像是直接访问网址的那一刻时被篡改的,有没有大佬懂的。
59 条回复 • 2024-09-10 12:55:10 +08:00
 |
1
yidinghe 60 天前 via Android
防止被篡改的办法就是用 HTTPS
|
 |
2
cwxiaos 60 天前 via iPhone
看看供应链投毒
|
 |
4
xuecan 60 天前
遇到过 有 js 投毒
|
 |
7
follow 60 天前
看看有无引用第三方 js ,比如 第三方的统计代码,也会投毒。以及 dns 解析有没有问题。
|
 |
8
x86 60 天前
盲猜 51la
|
 |
9
xfl 60 天前 via iPhone
大佬们,我之前遇到过 it 之家手机网页跳转到不良网站,开翻墙就行了。怎么回事
|
 |
10
hefish 59 天前
情况还是讲具体点吧,这个黄色广告是插入 div 的,还是跳转到新 url 的,还是其他的情况,
浏览器用手机模式情况怎样。 本地电脑 curl 下来的结果,跟在服务器端 curl 到的结果一致不 不能说个结论,然后让大家猜过程啊。 |
 |
11
LLaMA2 59 天前
网址发来,群友鉴赏!
|
 |
14
Raynard 59 天前
js 吧,之前遇见过
|
|
15
Raynard 59 天前
友情提示,非必要的话先把解析停了,
我们那次网站被篡改被网警查水表了,下的整改通知,还得回复情况说明、整改情况。 |
 |
16
Y25tIGxpdmlk 59 天前
|
 |
18
SSSLC77 OP @Y25tIGxpdmlk #16 谢谢你的补充,非常感谢
|
|
20
hefish 59 天前
网警都通知有问题啦,那还下结论说代码没问题。。。
这个结论下的草率啊。。。 |
 |
21
nwu2Cv8OZ2MZMg39 59 天前
|
|
24
nwu2Cv8OZ2MZMg39 59 天前
@SSSLC77 用电脑访问呢?
|
|
26
nwu2Cv8OZ2MZMg39 59 天前
@SSSLC77 那就是代码被篡改了,估计是被投毒了
|
 |
27
ewiglicht 59 天前
DNS 污染?
非专业人员,瞎猜的,只是觉得这种情况有点像 DNS 污染。仅供参考。 可以手机全局代理访问网站试一下。 |
|
28
nwu2Cv8OZ2MZMg39 59 天前
@SSSLC77 要不是前端代码写了链接跳转,要不就是后端接口判断是移动端就发起重定向
|
 |
29
superkkk 59 天前 via iPhone  2
php+宝塔,纯度拉满了,肯定是服务器的 js 被加上了定时随机小概率跳转的恶意代码。
|
 |
30
mxalbert1996 59 天前 via Android
移动端 Chrome 也可以用 DevTools 呀,看一下在哪里跳转的呗
|
 |
31
moh 59 天前 via iPhone
域名解析用的 cf 吗
|
 |
32
cslive 59 天前 via Android
随机检测的,cdn 被投毒了吧
|
 |
33
akira 59 天前
地址发出来,2 分钟 广大网友就能给你把问题扒干净了
|
|
35
xuecan 59 天前
@Y25tIGxpdmlk #16 有道理 那跟我遇到的不一样 我遇到的是 php 后门导致 index.php 被篡改了 多了一段 js
|
 |
36
NESeeker 59 天前 via Android
talk is cheap, show me the domain name.
|
 |
37
osilinka 59 天前
在烟台的一个大酒店碰到过:
而且还比较奇怪的是,那个色情网站就在厕所里显示 在外面大堂还不显示。 |
 |
38
illl 59 天前 via iPhone
大概率已经被拿下了,网站是不是有漏洞
|
 |
39
virusdefender 59 天前
大概率网站有漏洞,小概率是宝塔的 nginx 被改了,之前发现过这个样本
|
|
40
virusdefender 59 天前
grep 56d86f7d8382402517f3b5 试试,已知的后门有这个特征
|
 |
41
jeremaihloo 59 天前
不要用宝塔呀,宝塔一堆漏洞,直接服务器被拿权限的那种,宝塔谁用谁知道
|
 |
42
lisongeee 59 天前 1
这官网链接是有什么不能发的原因吗?
你在 GitHub 提 issue 都得发运行上下文环境和复现 demo ,这是让广大网友靠猜啊? |
 |
43
Hyschtaxjh 59 天前 via iPhone
链接是不可能发的
家丑不能外扬 |
|
45
SSSLC77 OP 找了阿里云的售后工程师,说是 php7.3 版本漏洞导致的被篡改路由,现在更换回到 7.2 版本先看看。我也不是专业的,也只能先按照这个办法试试了。
|
|
46
SSSLC77 OP @Hyschtaxjh #43 网警第一时间让我们停了,并让我们搞好后跟他们说下,然后再重新开启
|
 |
47
encro 59 天前
如果你的网站是 https 的,那么可能是植入的 js 不是 https 的。比如某些平台的统计代码之类的。
|
|
49
SSSLC77 OP 谢谢大家的热心回复,非常感谢你们。
|
|
50
encro 59 天前 1
@SSSLC77
确定没有问题了吗? 这个问题一般是当地通信行业黑产,第一次访问如果不是 HTTPS 就会被注入代码,再次刷新又没了。 要测试必须用不同的人设备去访问,一般是 100%第一次能复现。 这个黑产有多达?我曾今在用户群数量还不错的某公司做了一个测试,全国范围比例大于 20%。 |
 |
52
Walk52 59 天前
控制台重写 window.open 方法,然后查看函数调用栈,大概就这个样子排查前端吧
|
 |
53
proxytoworld 59 天前 1
1. 拦截请求,用 ua 伪装插件使用手机 ua ,看调用栈
2. 如果不是前端,查看 nginx 配置 当然最好是重装系统 |
 |
54
gaobh 59 天前
是不是用了 goedge 的 cdn ?
|
 |
55
actar 59 天前
排查一下有没有通过第三方的 cdn 引入 js 文件。如果是手动引入的 js 库文件,检查一下 js 文件和官方的有没有差别。
|
 |
56
BwNVlwSq 59 天前
大概是第三方 CDN 的锅..
|
 |
57
sfdev 59 天前
不像是 CDN 的问题,服务器那边被篡改的
|
 |
58
andytao 59 天前
貌似是 DNS 被劫持了,DNS 解析服务器切换新的试试?再不行检查一下本地 DNS 和 HOSTS 是否被篡改?
|
 |
59
kuufei8989 56 天前
@x86 #8 哈哈 老流氓了。试过被 51 拉投毒。
|
Select Language