【已完成】当天首次访问服务器下所有网站发现JS跳转色情...
【现象描述】1.访问网站(需使用手机user-agent),弹出新标签,跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码
【已做排查】
1. 使用了 https,排除中间人可能
2. 使用D盾和宝塔查杀网站目录,未查杀出内容
3. 检查 js 文件最后修改日期,*期没有修改
4. 查看 js 文件内容,里面并没有恶意代码(但是浏览器请求到的 js 中有恶意代码)
4. 在 linux 服务器上用 auditd 监控js文件,并未发现相关js被动过
【目前进展】
已经排查出是nginx出了问题
1. 依据:重装 nginx 后,返回浏览器的 js 文件未发现恶意代码
2. 现象补充:并非所有 js 文件都会被加恶意代码,只有符合条件的js(文件达到一定长度)的才会被加恶意代码
【过了几天后】
网站再次被挂弹窗,现象和之前一样
【目前推测】
1. 宝塔某个下载节点 nginx 源头被污染(有两个网友,都用的宝塔,出现同样现象,被挂的恶意代码一模一样)
2. 多节点 ping 这两个网友的节点,都有 cloudinnovation,不知道是否是他的问题
堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...
您好,我这边也是这个问题,之前是用的nginx1.20,重装nginx1.22之后,问题暂时解决,过了几天问题复现! 堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...
另外,请问一下前段时间出了什么漏洞,有无CVE编号或者连接参考 堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017
不是很认可,看了下这个漏洞影响nginx版本只到1.20.0,问了楼主,楼主原先的nginx版本就是1.22 堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017
我在论坛发现也有其他人遇到类似问题:https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=96727&highlight=nginx 堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...
有优惠券吗 堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...
nginx1.22同样是有问题的 企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决 宝塔用户_qkdzaj 发表于 2022-10-5 00:35
企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决 ...
您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常 您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常 堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站,这个可以放心的
建议将nginx版本卸载掉,然后换成新版本的nginx1.22;
旧 ...
怎么将nginx锁上 您好!请问您这边是否解决问题了吗?还未解决的话这边建议重新发帖提问一下哦!感谢使用宝塔面板!
请问此问题得到解决了吗?同样的遭遇。同样的js马。 突然所有js文件多了一行加载外部js的代码。 也觉得是ngnix的事情。 宝塔用户_uksutn 发表于 2022-10-19 22:08
请问此问题得到解决了吗?同样的遭遇。同样的js马。 突然所有js文件多了一行加载外部js的代码。 也觉得是 ...
您好!这边建议遇到问题,第一时间直接发帖提问哦!直接在其他帖子提问这边可能不能及时看到您的问题。感谢您的支持哦! 1500174457cvnr 发表于 2022-12-6 23:01
我也遇到这个问题,暂时换到1.19 过几天看看..JS文件恶意代码 服务器上有找不到....
谁解决了回复下.. ...
您好,您是否方便提供一下服务器,使用手机微信扫码打开,这边协助您排查一下问题所在。
https://www.bt.cn/bbs/data/attachment/forum/202211/17/104937hsb2s3tihccsltsp.png
页:
[1]
2