这是一个创建于 404 天前的主题,其中的信息可能已经有所发展或是发生改变。
项目结构是 php ,用宝塔部署的,代码已经查杀过了,没有发现可疑代码,放到本地运行就正常,但是一放到服务器,就会出现这个问题,好像是直接访问网址的那一刻时被篡改的,有没有大佬懂的。
 | 1 yidinghe 2024-09-07 08:38:56 +08:00 via Android 防止被篡改的办法就是用 HTTPS |
 | 2 cwxiaos 2024-09-07 08:41:03 +08:00 via iPhone 看看供应链投毒 |
 | 3 mercury233 2024-09-07 08:41:40 +08:00 |
 | 4 xuecan 2024-09-07 08:55:54 +08:00 遇到过 有 js 投毒 |
 | 7 follow &nbp;2024-09-07 09:17:33 +08:00 看看有无引用第三方 js ,比如 第三方的统计代码,也会投毒。以及 dns 解析有没有问题。 |
 | 8 x86 2024-09-07 09:21:00 +08:00 盲猜 51la |
 | 9 xfl 2024-09-07 09:59:46 +08:00 via iPhone 大佬们,我之前遇到过 it 之家手机网页跳转到不良网站,开翻墙就行了。怎么回事 |
 | 10 hefish 2024-09-07 10:04:58 +08:00 情况还是讲具体点吧,这个黄色广告是插入 div 的,还是跳转到新 url 的,还是其他的情况, 浏览器用手机模式情况怎样。 本地电脑 curl 下来的结果,跟在服务器端 curl 到的结果一致不 不能说个结论,然后让大家猜过程啊。 |
 | 11 LLaMA2 2024-09-07 10:08:42 +08:00 网址发来,群友鉴赏! |
 | 14 IsA26hN4DcQDS7Z9 2024-09-07 10:12:32 +08:00 js 吧,之前遇见过 |
| 15 IsA26hN4DcQDS7Z9 2024-09-07 10:13:31 +08:00 友情提示,非必要的话先把解析停了, 我们那次网站被篡改被网警查水表了,下的整改通知,还得回复情况说明、整改情况。 |
 | 16 Y25tIGxpdmlk 2024-09-07 10:15:24 +08:00 |
 | 18 SSSLC77 OP @Y25tIGxpdmlk #16 谢谢你的补充,非常感谢 |
| 20 hefish 2024-09-07 10:24:12 +08:00 网警都通知有问题啦,那还下结论说代码没问题。。。 这个结论下的草率啊。。。 |
 | 21 nwu2Cv8OZ2MZMg39 2024-09-07 10:28:18 +08:00 |
| 22 nwu2Cv8OZ2MZMg39 2024-09-07 10:29:00 +08:00 |
| 24 nwu2Cv8OZ2MZMg39 2024-09-07 10:38:18 +08:00 @SSSLC77 用电脑访问呢? |
| 26 nwu2Cv8OZ2MZMg39 2024-09-07 10:47:06 +08:00 @SSSLC77 那就是代码被篡改了,估计是被投毒了 |
 | 27 ewiglicht 2024-09-07 10:49:44 +08:00 DNS 污染? 非专业人员,瞎猜的,只是觉得这种情况有点像 DNS 污染。仅供参考。 可以手机全局代理访问网站试一下。 |
| 28 nwu2Cv8OZ2MZMg39 2024-09-07 10:49:53 +08:00 @SSSLC77 要不是前端代码写了链接跳转,要不就是后端接口判断是移动端就发起重定向 |
 | 29 superkkk 2024-09-07 10:54:18 +08:00 via iPhone  2 php+宝塔,纯度拉满了,肯定是服务器的 js 被加上了定时随机小概率跳转的恶意代码。 |
 | 30 mxalbert1996 2024-09-07 11:01:24 +08:00 via Android 移动端 Chrome 也可以用 DevTools 呀,看一下在哪里跳转的呗 |
 | 31 moh 2024-09-07 11:13:38 +08:00 via iPhone 域名解析用的 cf 吗 |
 | 32 cslive 2024-09-07 11:15:20 +08:00 via Android 随机检测的,cdn 被投毒了吧 |
 | 33 akira 2024-09-07 11:54:28 +08:00 地址发出来,2 分钟 广大网友就能给你把问题扒干净了 |
| 34 xuecan 2024-09-07 11:57:08 +08:00 @SSSLC77 #6 不是的 你 php 有后门 被人加了一段 js 那段 js 判断了 user-agent 当是手机端的时候就会跳转 |
| 35 xuecan 2024-09-07 11:58:05 +08:00 @Y25tIGxpdmlk #16 有道理 那跟我遇到的不一样 我遇到的是 php 后门导致 index.php 被篡改了 多了一段 js |
 | 36 NESeeker 2024-09-07 12:03:59 +08:00 via Android talk is cheap, show me the domain name. |
 | 37 osilinka 2024-09-07 12:04:57 +08:00 在烟台的一个大酒店碰到过: 而且还比较奇怪的是,那个色情网站就在厕所里显示 在外面大堂还不显示。 |
 | 38 illl 2024-09-07 12:08:24 +08:00 via iPhone 大概率已经被拿下了,网站是不是有漏洞 |
 | 39 virusdefender 2024-09-07 12:20:44 +08:00 大概率网站有漏洞,小概率是宝塔的 nginx 被改了,之前发现过这个样本 |
| 40 virusdefender 2024-09-07 12:22:59 +08:00 grep 56d86f7d8382402517f3b5 试试,已知的后门有这个特征 |
 | 41 jeremaihloo 2024-09-07 12:28:05 +08:00 不要用宝塔呀,宝塔一堆漏洞,直接服务器被拿权限的那种,宝塔谁用谁知道 |
 | 42 lisongeee 2024-09-07 12:30:15 +08:00 1 这官网链接是有什么不能发的原因吗? 你在 GitHub 提 issue 都得发运行上下文环境和复现 demo ,这是让广大网友靠猜啊? |
 | 43 Hyschtaxjh 2024-09-07 13:16:47 +08:00 via iPhone 链接是不可能发的 家丑不能外扬 |
 | 45 SSSLC77 OP 找了阿里云的售后工程师,说是 php7.3 版本漏洞导致的被篡改路由,现在更换回到 7.2 版本先看看。我也不是专业的,也只能先按照这个办法试试了。 |
| 46 SSSLC77 OP @Hyschtaxjh #43 网警第一时间让我们停了,并让我们搞好后跟他们说下,然后再重新开启 |
 | 47 encro 2024-09-07 14:44:09 +08:00 如果你的网站是 https 的,那么可能是植入的 js 不是 https 的。比如某些平台的统计代码之类的。 |
| 49 SSSLC77 OP 谢谢大家的热心回复,非常感谢你们。 |
| 50 encro 2024-09-07 15:15:46 +08:00 1 @SSSLC77 确定没有问题了吗? 这个问题一般是当地通信行业黑产,第一次访问如果不是 HTTPS 就会被注入代码,再次刷新又没了。 要测试必须用不同的人设备去访问,一般是 100%第一次能复现。 这个黑产有多达?我曾今在用户群数量还不错的某公司做了一个测试,全国范围比例大于 20%。 |
 |
 | 53 proxytoworld 2024-09-07 16:37:11 +08:00 1 1. 拦截请求,用 ua 伪装插件使用手机 ua ,看调用栈 2. 如果不是前端,查看 nginx 配置 当然最好是重装系统 |
 | 54 Solix 2024-09-07 17:01:03 +08:00 是不是用了 goedge 的 cdn ? |
 | 55 KotlinAmai 2024-09-07 17:01:40 +08:00 排查一下有没有通过第三方的 cdn 引入 js 文件。如果是手动引入的 js 库文件,检查一下 js 文件和官方的有没有差别。 |
 | 56 BwNVlwSq 2024-09-07 17:14:08 +08:00 大概是第三方 CDN 的锅.. |
 | 57 sfdev 2024-09-07 17:42:26 +08:00 不像是 CDN 的问题,服务器那边被篡改的 |
| 58 9dP06m83vIV00l72 2024-09-07 20:06:22 +08:00 貌似是 DNS 被劫持了,DNS 解析服务器切换新的试试?再不行检查一下本地 DNS 和 HOSTS 是否被篡改? |
 | 59 kuufei8989 2024-09-10 12:55:10 +08:00 @x86 #8 哈哈 老流氓了。试过被 51 拉投毒。 |
Select Language