【已完成】疑似宝塔文件被篡改问题

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：8.0

系统版本：CentOS 8.4.2105 x86_64(Py3.7.9)

问题描述：
/www/wwwroot/ceshi.com 是网站目录，清空网站目录内的全部文件（怕会有隐藏文件，我就新建了个目录，老目录删掉）
然后新建/www/wwwroot/ceshi.com/index.php，内容空白，这个目录就这一个文件
理论上访问就是空白内容了，但是手机端访问会自动调整到色情网站（pc访问正常），如果把index.php删掉的话，就正常404页面

相关截图（日志、错误）：

这种情况是宝塔哪个文件被篡改了呢

运维小林q3030251644 · 发表于 2023-7-7 14:02:37

您好，检查一下nginx或者apache的配置文件是否被修改呢？看看是不是web服务器的配置中反向代理到非法网站

宝塔用户_neyxfn · 发表于 2023-7-7 14:35:51

堡塔运维小林发表于 2023-7-7 14:02
您好，检查一下nginx或者apache的配置文件是否被修改呢？看看是不是web服务器的配置中反向代理到非法网站 ...

文件路径是多少呢

运维小林q3030251644 · 发表于 2023-7-7 14:37:40

宝塔用户_neyxfn 发表于 2023-7-7 14:35
文件路径是多少呢

您好，nginx的主配置文件在/www/server/nginx/conf/nginx.conf ,其它的网站目录在/www/server/panel/vhost/nginx目录下面

堡塔安全Bacon · 发表于 2023-7-7 17:48:08

● 如果是全部网站都出现这种情况，请去查看下nginx的主配置文件在/www/server/nginx/conf/nginx.conf
● 如果是个别网站才出现，可查看 /www/server/panel/vhost/nginx目录下面对应的网站nginx文件配置
● 发现是有修改的，就删掉即可
修改后，还是不放心的话，就走下一步
- 查看下插件“网络监控”，浏览网站操作日志，是否有其他人修改了nginx配置文件。
- 如果既没有被修改nginx，日志也没啥问题，手机换一个浏览器，再访问下，看一下会不会被重定向。

Zsoner · 发表于 2023-7-14 14:07:59

今天是23年7月14号，我希望宝塔官方能看到这些话
1.劫持不是一两台几台的问题，今天我遇到这样的情况，把整台服务器重新迁移，从7.4到8.0，nginx 重装，重装后复现
2.迁移过程中，vhost 文件夹下面的部分配置依旧用的旧的，查看单个有问题的vhost没有问题
3.触发条件，手机端+百度来源+url参数，举例：https://www.norda-china.com/?lYei=.xlsx20230630ygurA
4.应该是nginx层级别,搞不好市面上一大片死亡

server
{
listen 80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
listen [::]:80;
server_name www.norda-china.com norda-china.com;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/shunxin.hui-ce.cn;
#SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则
#error_page 404/404.html;
#HTTP_TO_HTTPS_START
if ($server_port !~ 443){
rewrite ^(/.*)$ https://$host$1 permanent;
}
#HTTP_TO_HTTPS_END
ssl_certificate /www/server/panel/vhost/cert/shunxin.hui-ce.cn/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/shunxin.hui-ce.cn/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
error_page 497 https://$host$request_uri;
#SSL-END
#ERROR-PAGE-START 错误页配置，可以注释、删除或修改
#error_page 404 /404.html;
#error_page 502 /502.html;
#ERROR-PAGE-END
#PHP-INFO-START PHP引用配置，可以注释或修改
#SECURITY-START 防盗链配置
location ~ .*\.(jpg|jpeg|gif|png|js|css)$
{
expires 30d;
access_log /dev/null;
valid_referers none blocked www.norda-china.com norda-china.com;
if ($invalid_referer){
return 404;
}
}
#SECURITY-END
include enable-php-70.conf;
#PHP-INFO-END
#REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
#include /www/server/panel/vhost/rewrite/shunxin.hui-ce.cn.conf;
#REWRITE-END
#禁止访问的文件或目录
location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
{
return 404;
}
#一键申请SSL证书验证目录相关设置
location ~ \.well-known{
allow all;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
error_log off;
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
expires 12h;
error_log off;
access_log /dev/null;
}
location / {
if (!-e $request_filename) {
rewrite ^(.*)$ /index.php?s=/$1 last;
break;
}
}
access_log /www/wwwlogs/shunxin.hui-ce.cn.log;
error_log /www/wwwlogs/shunxin.hui-ce.cn.error.log;
}

复制代码

南南呦 · 发表于 2023-10-11 17:31:37

您好，由于您长期未回复，这边先完结这个帖子了，如果您仍需要帮助，您可以重新发帖求助，感谢您的配合！

中网互动 · 发表于 2024-6-29 10:16:36

这个问题的确很严重，关键是不知道什么地方被干了没法处理

█ 菠萝云-主机特惠16G内存100元 █	【阿里云】低至5折	A3招租，联系qq394030111	16核16G高防189元	【多途云】高防CDN
高防服务器，无视一切流量攻击	A7招租，联系qq394030111	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	CDN无视各类攻击\|无效退款	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	AWS CDN 4分，多家公有云代理