【现象描述】
1.访问网站(需使用手机user-agent),弹出新标签,跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码
【已做排查】
1. 使用了 https,排除中间人可能
2. 使用D盾和宝塔查杀网站目录,未查杀出内容
3. 检查 js 文件最后修改日期,*期没有修改
4. 查看 js 文件内容,里面并没有恶意代码(但是浏览器请求到的 js 中有恶意代码)
4. 在 linux 服务器上用 auditd 监控js文件,并未发现相关js被动过
【目前进展】
已经排查出是nginx出了问题
1. 依据:重装 nginx 后,返回浏览器的 js 文件未发现恶意代码
2. 现象补充:并非所有 js 文件都会被加恶意代码,只有符合条件的js(文件达到一定长度)的才会被加恶意代码
【过了几天后】
网站再次被挂弹窗,现象和之前一样
【目前推测】
1. 宝塔某个下载节点 nginx 源头被污染(有两个网友,都用的宝塔,出现同样现象,被挂的恶意代码一模一样)
2. 多节点 ping 这两个网友的节点,都有 cloudinnovation,不知道是否是他的问题
|
|