V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
chenduoduo
V2EX  ›  Linux

Linux 服务器被劫持

  •  
  •   chenduoduo · 2020-11-08 21:01:05 +08:00 · 4281 次点击
    这是一个创建于 1473 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前几天发现网站打开会被跳转到另外的网站,就是一会儿正常,过一会儿又跳了,应该设有时间限制。

    最开始以为是自己的浏览器(firefox)被劫持了;

    然后用其他浏览器发现仍然跳转,以为是自己的网络运营商这边的问题;

    然后又让不同地方的十多个朋友测试,也会跳转,才发现事情严重,猜测应该是服务器上出了问题。

    会跳转到这个,图片链接: http://tva1.sinaimg.cn/large/4b2958c9gy1gki28rq3xjj20tc0fkdhc.jpg

    服务器:Liunx Centos 7.7(64 位)

    装有 apache 、php 、mysql

    在服务器上面搜索了关键词“haomil”没找到原因,因为连接很慢,还经常断掉,所以似乎没有找到相关记录,只在日志中看到有这个。

    请问各位老师有没有什么方式方法可以提供,去除这个隐患,谢谢。

    18 条回复    2020-11-14 02:11:55 +08:00
    hellos
        1
    hellos  
       2020-11-08 21:07:07 +08:00
    可以用 Burp Suite 看看网页跳转过程。
    还有,跳转的网址未必是硬编码在源码中的。
    chenduoduo
        2
    chenduoduo  
    OP
       2020-11-08 21:19:02 +08:00
    @hellos 应该不在网页代码中,因为服务器上的所有网站都会跳
    opengps
        3
    opengps  
       2020-11-08 21:22:17 +08:00
    这种跳转往往是多级跳,搜最终关键字未必管用。
    你先试试将源代码备份,然后重新发布一下,看看是不是网页源文件注入了脚本,确认是的话,在用文本比对工具去分析差异
    ThirdFlame
        4
    ThirdFlame  
       2020-11-08 21:31:56 +08:00
    先通过跟踪 js 看看到底是哪里被插入了代码。
    另外试试 https 会不会跳,是不是某个第三方的 js 库 被网络劫持了。
    zlowly
        6
    zlowly  
       2020-11-09 01:48:03 +08:00
    如果所有 php 网页都出现这个情况(可以试试看 html 静态页面是不是没影响),也有可能 php 被入侵。
    先看看网页源码的目录里,有没多了些.user.ini ,.htaccess 。通过看 phpinfo 或者直接查看 php.ini 内容,看看有没多出 auto_prepend_file 或者 auto_append_file 了。如果真的是这些地方有被动过,那么可能网站存在上传漏洞。
    motecshine
        7
    motecshine  
       2020-11-09 09:15:28 +08:00
    生蚝视频看了大补么
    chenduoduo
        8
    chenduoduo  
    OP
       2020-11-09 09:20:00 +08:00
    @zlowly

    phpinfo 里面 auto_prepend_file 、auto_append_file 值都是 no value
    对了,用了 BT 面板,会自动生成.user.ini 文件,但是里面没有有问题的代码。
    而伪静态.htaccess 文件也是正常的。
    chenduoduo
        9
    chenduoduo  
    OP
       2020-11-09 09:20:20 +08:00
    @motecshine

    不知道呀,那些都是灰产吧
    chenduoduo
        10
    chenduoduo  
    OP
       2020-11-09 09:22:52 +08:00
    @ThirdFlame

    第三方的就只用了:
    cdn.bootcss.com/font-awesome/4.7.0/css/font-awesome.min.css
    以及百度统计和百度推送,应该是不可能有问题的
    chenduoduo
        11
    chenduoduo  
    OP
       2020-11-09 09:23:40 +08:00
    @opengps 谢谢。换到了另外的服务器就没有问题,代码应该没有问题
    chenduoduo
        12
    chenduoduo  
    OP
       2020-11-09 09:26:17 +08:00
    @hcymk2

    这两个好牛的样子,不懂就问一下,这两站站是什么作用的,好高大上。

    有一次跳没跳得过去,的确是看到用的 http-equiv="refresh"
    opengps
        13
    opengps  
       2020-11-09 09:36:48 +08:00
    @chenduoduo 代码没问题的话,查查主机里是不是有某些进程。
    我客户当初中过一个广告病毒,我查了下是个异常的进程,那个进程网上一搜很容易了解到是个基于主机内部的广告,由于从源头出发,所以原站即使 https 都照样被插入广告脚本。当时没有写博客习惯,所以现在也就没留下当时的关键字。
    newee
        14
    newee  
       2020-11-09 09:55:45 +08:00
    liuxu
        15
    liuxu  
       2020-11-09 11:40:35 +08:00
    以前追查代码,发现在 smarty 内核里,加密过
    zgcwkj
        16
    zgcwkj  
       2020-11-09 17:11:36 +08:00
    有没有可能是,服务商搞鬼?
    gogolive
        17
    gogolive  
       2020-11-11 18:12:03 +08:00
    同样的问题,怎么解决的,楼主
    gogolive
        18
    gogolive  
       2020-11-14 02:11:55 +08:00
    @chenduoduo 是香港服务器?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1312 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 17:46 · PVG 01:46 · LAX 09:46 · JFK 12:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.