网站遭劫持了,被注入恶意代码,请教各位大佬如何清除并再次预防?

52 天前
 black9

前两天用户反馈移动端网页访问不正常,一查看发现,特定的路由会触发跳转到黄色广告地址。 如: 网址:https://www.网址.com/edu 在 pc 端正常访问,但在移动端就会被跳转到其他网站上。 如修改路由为/edu123也会跳转,修改为/ed则不会。初步判断关键字为edu

进行排查:

  1. dns污染
    网站都是使用了https,排除
  2. nginx
    通过查看日志以及转发记录,发现/edu 被转发到了 php-cgi ,排除
  3. php
    在排查时在看见 v2 中有人遇到类似的问题,于是照着大佬的思路排查,结果发现每个站都被添加了一个 pass.php 文件。 根据代码内容搜索,是用Godzilla生成的木马脚本。对网络安全这个块不太懂,有没有大佬知道怎么切底清除这个脚本带来的影响?

初步处理尝试:

清除每个站点下的 pass.php 文件,以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后,重启 php 服务再次访问。 结果还是一样会跳转到其他网站。。。

继续排查:

查看 php 慢日志时,发现请求网页时有执行file_get_contents函数,于是循着文件路径查看,找到了罪魁祸首,项目composer下的autoload_real.php被植入了一行代码,删除掉后网址恢复正常。

疑问请求:

请问这是利用了 composer 的漏洞吗? composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的?因为我看到这些文件都是 www 宝塔用户上传的。

4431 次点击
所在节点    PHP
48 条回复
jeepc
51 天前
@stew5566 #37 当然没用
lyxxxh2
51 天前
@BeforeTooLate
?不理解。
自己创造工具的话,
部署网站丶备份数据库丶日志丶 ssl 自动续期。
如果不用宝塔,我得额外消耗 3-5 天。

用了宝塔带来的缺陷,无非一点 cpu 和内存。
怎么看都是利大于弊。
BeforeTooLate
51 天前
@lyxxxh2 那你多用用。
atfeel
51 天前
一个月之前我也碰到了跟你相同的情况,我现在大概能猜出中招的原因,并不是网站被注入了恶意代码,而是我在服务器上安装一个 youtube 上提供的脚本做测试的时候,那脚本被别人留了后门,劫持篡改了网络,最终实现注入恶意代码在 web 请求上,网警都打给我了,被挂了赌博网站的链接,但是我又没办法查到他是怎么劫持的,也没办法解决,最后还是重装服务器,就一点问题都没有了,所以服务器的轻量化是很重要的,用宝塔的一键迁移,基本上解决了
lixuda
51 天前
用过多个 php ,知名的非知名的程序,没有不被黑的。最大问题就是上传执行 php 文件。换了其他语言,清净了
dyllen
51 天前
除了一些缓存目录把写入权限全关了,核心目录权限改了不要给 www 的运行用户和组。
dimwoodxi27
49 天前
盲猜网上买的 xx 源码,用了一段时间正常然后被传马,而很多人却在说是宝塔的问题或 TP 的问题,就论 TP 的一些漏洞也没有这么轻易能传马吧?用的 xx 源码里面的上传接口没做处理和过滤怪罪到框架真是抽象,我自己用 tp5.1 写的网站对外使用都 4 年多了,平均 IP1W 左右,从没发现被传马什么的,对外也没什么上传文件的接口!提交的内容也会做一些 xss 处理,本身框架的 orm 也会对 SQL 注入的简单过滤
sead
49 天前
黑客最喜欢 php ,asp 没有之三

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1060934

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX