当前位置:论坛首页 > Linux面板 > 求助

【已完成】当天首次访问服务器下所有网站发现JS跳转色情...

发表在 Linux面板2022-9-30 23:52 [复制链接] 24 13474

【现象描述】
1.访问网站(需使用手机user-agent),弹出新标签,跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码

Snipaste_2022-09-30_23-50-50.png

微信图片_20220930235207.png

【已做排查】
1. 使用了 https,排除中间人可能
2. 使用D盾和宝塔查杀网站目录,未查杀出内容
3. 检查 js 文件最后修改日期,*期没有修改
4. 查看 js 文件内容,里面并没有恶意代码(但是浏览器请求到的 js 中有恶意代码)
4. 在 linux 服务器上用 auditd 监控js文件,并未发现相关js被动过

【目前进展】
已经排查出是nginx出了问题
1. 依据:重装 nginx 后,返回浏览器的 js 文件未发现恶意代码
2. 现象补充:并非所有 js 文件都会被加恶意代码,只有符合条件的js(文件达到一定长度)的才会被加恶意代码

【过了几天后】
网站再次被挂弹窗,现象和之前一样

【目前推测】
1. 宝塔某个下载节点 nginx 源头被污染(有两个网友,都用的宝塔,出现同样现象,被挂的恶意代码一模一样)
2. 多节点 ping 这两个网友的节点,都有 cloudinnovation,不知道是否是他的问题

使用道具 举报 只看该作者 回复
发表于 2022-10-1 10:19:04 | 显示全部楼层
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧版本的nginx,有可能是前段时间那个漏洞导致的,更换nginx版本后即可解决此问题
另外,你还可以尝试使用企业版防篡改-重构版将nginx锁上,防止此程序被篡改二进制文件,防篡改就是为了这些类似的事情而开发的,如果没有购买,可以留言我给你发体验卷
使用道具 举报 回复 支持 反对
发表于 2022-10-1 12:48:51 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...

您好,我这边也是这个问题,之前是用的nginx1.20,重装nginx1.22之后,问题暂时解决,过了几天问题复现!
使用道具 举报 回复 支持 反对
发表于 2022-10-1 12:49:30 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...

另外,请问一下前段时间出了什么漏洞,有无CVE编号或者连接参考
使用道具 举报 回复 支持 反对
发表于 2022-10-1 14:15:00 | 显示全部楼层
天蓝 发表于 2022-10-1 12:49
另外,请问一下前段时间出了什么漏洞,有无CVE编号或者连接参考

应该是这个CVE-2021-23017
使用道具 举报 回复 支持 反对
发表于 2022-10-1 15:50:21 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017

不是很认可,看了下这个漏洞影响nginx版本只到1.20.0,问了楼主,楼主原先的nginx版本就是1.22
使用道具 举报 回复 支持 反对
发表于 2022-10-1 17:30:08 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017

我在论坛发现也有其他人遇到类似问题:https://www.bt.cn/bbs/forum.php? ... amp;highlight=nginx
使用道具 举报 回复 支持 反对
发表于 2022-10-3 22:27:47 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...

有优惠券吗
使用道具 举报 回复 支持 反对
发表于 2022-10-3 22:28:37 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...

nginx1.22同样是有问题的
使用道具 举报 回复 支持 反对
发表于 2022-10-5 00:35:28 | 显示全部楼层
企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决
使用道具 举报 回复 支持 反对
发表于 2022-10-8 14:27:18 | 显示全部楼层
宝塔用户_qkdzaj 发表于 2022-10-5 00:35
企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决 ...

您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常
使用道具 举报 回复 支持 反对
发表于 2022-10-8 14:27:21 | 显示全部楼层
您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常
使用道具 举报 回复 支持 反对
发表于 2022-10-9 14:02:56 | 显示全部楼层
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...

怎么将nginx锁上
使用道具 举报 回复 支持 反对
发表于 2022-10-18 18:07:54 | 显示全部楼层
您好!请问您这边是否解决问题了吗?还未解决的话这边建议重新发帖提问一下哦!感谢使用宝塔面板!
使用道具 举报 回复 支持 反对
发表于 2022-10-19 22:08:47 | 显示全部楼层
请问此问题得到解决了吗?  同样的遭遇。同样的js马。 突然所有js文件多了一行加载外部js的代码。 也觉得是ngnix的事情。
使用道具 举报 回复 支持 反对
12下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表