【已完成】当天首次访问服务器下所有网站发现JS跳转色情...

【现象描述】
1.访问网站（需使用手机user-agent），弹出新标签，跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码

【已做排查】
1. 使用了 https，排除中间人可能
2. 使用D盾和宝塔查杀网站目录，未查杀出内容
3. 检查 js 文件最后修改日期，*期没有修改
4. 查看 js 文件内容，里面并没有恶意代码（但是浏览器请求到的 js 中有恶意代码）
4. 在 linux 服务器上用 auditd 监控js文件，并未发现相关js被动过

【目前进展】
已经排查出是nginx出了问题
1. 依据：重装 nginx 后，返回浏览器的 js 文件未发现恶意代码
2. 现象补充：并非所有 js 文件都会被加恶意代码，只有符合条件的js（文件达到一定长度）的才会被加恶意代码

【过了几天后】
网站再次被挂弹窗，现象和之前一样

【目前推测】
1. 宝塔某个下载节点 nginx 源头被污染（有两个网友，都用的宝塔，出现同样现象，被挂的恶意代码一模一样）
2. 多节点 ping 这两个网友的节点，都有 cloudinnovation，不知道是否是他的问题

我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧版本的nginx，有可能是前段时间那个漏洞导致的，更换nginx版本后即可解决此问题
另外，你还可以尝试使用企业版防篡改-重构版将nginx锁上，防止此程序被篡改二进制文件，防篡改就是为了这些类似的事情而开发的，如果没有购买，可以留言我给你发体验卷

堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

您好，我这边也是这个问题，之前是用的nginx1.20，重装nginx1.22之后，问题暂时解决，过了几天问题复现！

堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

另外，请问一下前段时间出了什么漏洞，有无CVE编号或者连接参考

天蓝 发表于 2022-10-1 12:49
另外，请问一下前段时间出了什么漏洞，有无CVE编号或者连接参考

应该是这个CVE-2021-23017

堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017

不是很认可，看了下这个漏洞影响nginx版本只到1.20.0，问了楼主，楼主原先的nginx版本就是1.22

堡塔安全木兰 发表于 2022-10-1 14:15
应该是这个CVE-2021-23017

我在论坛发现也有其他人遇到类似问题：https://www.bt.cn/bbs/forum.php? ... amp;highlight=nginx

堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

有优惠券吗

堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

nginx1.22同样是有问题的

企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决

宝塔用户_qkdzaj 发表于 2022-10-5 00:35
企业用户路过 同样是这个情况 更换1.22 1.23 均会被挂马 希望宝塔能尽快查出问题解决 ...

您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常

您好 请问跑的什么站 用的什么系统 用的哪里的服务器
切换apache是否正常

堡塔安全木兰 发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

怎么将nginx锁上

您好！请问您这边是否解决问题了吗？还未解决的话这边建议重新发帖提问一下哦！感谢使用宝塔面板！

请问此问题得到解决了吗？  同样的遭遇。同样的js马。 突然所有js文件多了一行加载外部js的代码。 也觉得是ngnix的事情。