【已完成】当天首次访问服务器下所有网站发现JS跳转色情...

【现象描述】
1.访问网站（需使用手机user-agent），弹出新标签，跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码

【已做排查】
1. 使用了 https，排除中间人可能
2. 使用D盾和宝塔查杀网站目录，未查杀出内容
3. 检查 js 文件最后修改日期，*期没有修改
4. 查看 js 文件内容，里面并没有恶意代码（但是浏览器请求到的 js 中有恶意代码）
4. 在 linux 服务器上用 auditd 监控js文件，并未发现相关js被动过

【目前进展】
已经排查出是nginx出了问题
1. 依据：重装 nginx 后，返回浏览器的 js 文件未发现恶意代码
2. 现象补充：并非所有 js 文件都会被加恶意代码，只有符合条件的js（文件达到一定长度）的才会被加恶意代码

【过了几天后】
网站再次被挂弹窗，现象和之前一样

【目前推测】
1. 宝塔某个下载节点 nginx 源头被污染（有两个网友，都用的宝塔，出现同样现象，被挂的恶意代码一模一样）
2. 多节点 ping 这两个网友的节点，都有 cloudinnovation，不知道是否是他的问题

宝塔用户_vsngvl · 发表于 2022-10-3 22:27:47

堡塔安全木兰发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

有优惠券吗

宝塔用户_vsngvl · 发表于 2022-10-3 22:28:37

堡塔安全木兰发表于 2022-10-1 10:19
我司下载节点不会影响用户的网站，这个可以放心的
建议将nginx版本卸载掉，然后换成新版本的nginx1.22；
旧 ...

nginx1.22同样是有问题的

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M