【已完成】疑似宝塔文件被篡改问题
为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:8.0系统版本:CentOS 8.4.2105 x86_64(Py3.7.9)
问题描述:/www/wwwroot/ceshi.com 是网站目录,清空网站目录内的全部文件(怕会有隐藏文件,我就新建了个目录,老目录删掉)然后 新建/www/wwwroot/ceshi.com/index.php,内容空白,这个目录就这一个文件理论上访问就是空白内容了,但是手机端访问会自动调整到色情网站(pc访问正常),如果把index.php删掉的话,就正常404页面
相关截图(日志、错误):
这种情况是宝塔哪个文件被篡改了呢
您好,检查一下nginx或者apache的配置文件是否被修改呢?看看是不是web服务器的配置中反向代理到非法网站 堡塔运维小林 发表于 2023-7-7 14:02
您好,检查一下nginx或者apache的配置文件是否被修改呢?看看是不是web服务器的配置中反向代理到非法网站 ...
文件路径是多少呢 宝塔用户_neyxfn 发表于 2023-7-7 14:35
文件路径是多少呢
您好,nginx的主配置文件在/www/server/nginx/conf/nginx.conf,其它的网站目录在/www/server/panel/vhost/nginx目录下面 ● 如果是全部网站都出现这种情况,请去查看下nginx的主配置文件在/www/server/nginx/conf/nginx.conf
● 如果是个别网站才出现,可查看 /www/server/panel/vhost/nginx目录下面对应的网站nginx文件配置
● 发现是有修改的,就删掉即可
修改后,还是不放心的话,就走下一步
- 查看下插件“网络监控”,浏览网站操作日志,是否有其他人修改了nginx配置文件。
- 如果既没有被修改nginx,日志也没啥问题,手机换一个浏览器,再访问下,看一下会不会被重定向。
今天是23年7月14号,我希望宝塔官方能看到这些话
1.劫持不是一两台几台的问题,今天我遇到这样的情况,把整台服务器重新迁移,从7.4到8.0,nginx 重装,重装后复现
2.迁移过程中,vhost 文件夹下面的部分配置 依旧用的旧的,查看单个有问题的vhost没有问题
3.触发条件,手机端+百度来源+url参数,举例:https://www.norda-china.com/?lYei=.xlsx20230630ygurA
4.应该是nginx层级别,搞不好市面上一大片死亡
server
{
listen 80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
listen [::]:80;
server_name www.norda-china.com norda-china.com;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/shunxin.hui-ce.cn;
#SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
#error_page 404/404.html;
#HTTP_TO_HTTPS_START
if ($server_port !~ 443){
rewrite ^(/.*)$ https://$host$1 permanent;
}
#HTTP_TO_HTTPS_END
ssl_certificate /www/server/panel/vhost/cert/shunxin.hui-ce.cn/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/shunxin.hui-ce.cn/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
error_page 497https://$host$request_uri;
#SSL-END
#ERROR-PAGE-START错误页配置,可以注释、删除或修改
#error_page 404 /404.html;
#error_page 502 /502.html;
#ERROR-PAGE-END
#PHP-INFO-STARTPHP引用配置,可以注释或修改
#SECURITY-START 防盗链配置
location ~ .*\.(jpg|jpeg|gif|png|js|css)$
{
expires 30d;
access_log /dev/null;
valid_referers none blocked www.norda-china.com norda-china.com;
if ($invalid_referer){
return 404;
}
}
#SECURITY-END
include enable-php-70.conf;
#PHP-INFO-END
#REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
#include /www/server/panel/vhost/rewrite/shunxin.hui-ce.cn.conf;
#REWRITE-END
#禁止访问的文件或目录
location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
{
return 404;
}
#一键申请SSL证书验证目录相关设置
location ~ \.well-known{
allow all;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
error_log off;
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
expires 12h;
error_log off;
access_log /dev/null;
}
location / {
if (!-e $request_filename) {
rewrite^(.*)$/index.php?s=/$1last;
break;
}
}
access_log/www/wwwlogs/shunxin.hui-ce.cn.log;
error_log/www/wwwlogs/shunxin.hui-ce.cn.error.log;
}
您好,由于您长期未回复,这边先完结这个帖子了,如果您仍需要帮助,您可以重新发帖求助,感谢您的配合! 这个问题的确很严重,关键是不知道什么地方被干了没法处理
页:
[1]