【已完成】服务器被挂马

本帖最后由堡塔运维香菜卷于 2023-9-27 09:49 编辑

问题和【待反馈】面版让挂马，所有网站打开都会自己动挂马 - Linux面板 - 宝塔面板论坛 (bt.cn) 这个帖子的描述一模一样，服务器上所有网站用浏览器打开后</head>标签前都被插入一条JS，其实这个问题去年就遇到了，去年这个JS是插入到</body>标签前，去年实在没办法，我删除了源码内的</body>标签才暂时解决，但是今年又换成</body>了。无论是静态还是动态网页，即使是新建网站，用宝塔面板的默认index也一样会被插。

【待反馈】面版让挂马，所有网站打开都会自己动挂马 - Linux面板 - 宝塔面板论坛 (bt.cn)此帖设置的只有作者才能观看回帖，我无法看到管理员们对此问题的回复

堡塔开发CyberKid · 发表于 2023-9-22 09:35:44

可以试着排查一下PHP配置文件：

堡塔开发CyberKid · 发表于 2023-9-22 09:37:48

打开软件商店-运行环境，找到网站用的php版本，打开配置文件，搜索一下【auto_prepend_file】、【auto_append_file】存不存在

宝塔用户_xugmxg · 发表于 2023-9-22 10:21:08

堡塔开发CyberKid 发表于 2023-9-22 09:37
打开软件商店-运行环境，找到网站用的php版本，打开配置文件，搜索一下【auto_prepend_file】、【auto_appe ...

php.in排查未发现问题，服务器是多站点，多PHP版本，7.2 7.3 5.6都有。而且纯静态站点也有同样的问题，哪怕是新建一个纯静态单页面站点，只要页面里包含</head>就会自动在其前面加入JS，这个JS在源码内是没有的，只要在浏览器打开网站的时候才会加载出来

香菜卷 · 发表于 2023-9-22 10:43:28

您好，麻烦您到终端执行下述命令并截图上传上来，以便排查问题。谢谢

复制代码

宝塔用户_xugmxg · 发表于 2023-9-22 11:02:03

堡塔运维香菜卷发表于 2023-9-22 10:43
您好，麻烦您到终端执行下述命令并截图上传上来，以便排查问题。谢谢

这样吗

运维小林q3030251644 · 发表于 2023-9-22 14:40:25

宝塔用户_xugmxg 发表于 2023-9-22 11:02
这样吗

您好，私信我您的联系方式，我联系您看看排查看看是什么问题，您私信后这里回复我

宝塔用户_xugmxg · 发表于 2023-9-26 22:21:02

你好，已私信QQ

宝塔用户_xugmxg · 发表于 2023-9-26 22:21:47

堡塔运维小林发表于 2023-9-22 14:40
您好，私信我您的联系方式，我联系您看看排查看看是什么问题，您私信后这里回复我 ...

你好，已私信QQ

hsxnet · 发表于 2023-9-26 23:34:37

宝塔用户_xugmxg 发表于 2023-9-26 22:21
你好，已私信QQ

四天前不回复。现在回复，黄花菜都凉了。
检查自己的程序吧。
挂马，都是木桶理论，跨站感染。
找到有洞的程序补上。

宝塔用户_xugmxg · 发表于 2023-9-26 23:35:38

hsxnet 发表于 2023-9-26 23:34
四天前不回复。现在回复，黄花菜都凉了。
检查自己的程序吧。
挂马，都是木桶理论，跨站感染。

网站转移到其他服务器上就没事

宝塔用户_cqwwhz · 发表于 3 天前

专业处理网站挂马、劫持、快照跳转等问题，请联系宝塔专属小肥的微信：