遇到一个棘手的问题,服务器被注入恶意软件了,求助。

2017-01-14 12:39:40 +08:00
 ob
自己在 VPS 上面搭建本人的一两个小站,今天早上访问的时候突然弹出恶意软件的提示:

chrome 访问时的红色警告:
----------------------------------------------------
您要访问的网站包含恶意软件

攻击者可能会试图通过 60.210.98.240 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)。
自动向 Google 报告可能出现的安全事件的详细信息。隐私权政策
----------------------------------------------------
其他浏览器也是,点继续访问,文章旁边就显示各种菠菜网站,还有直接跳转到菠菜网站的地址。

网站都没怎么公开过,基本上都是个人在使用。
测试情况:
第一个网站:主页不会,然后点进去的文章,大部分都会提示这个警告,然后有个别文章又不会。
第二个网站:主页和其他链接都直接提示。
本地代码连远程数据库访问正常。
两个网站的代码都很干净。
----------------------------------------------------
近期对服务器的操作,除了用一键脚本安装 kcptun (很多天前的,服务也已经停止,都没启用),也没啥异常操作。

服务器现在都能正常登录操作。用 last 也没看出什么异常 ip 。
有人遇到过这种情况么,具体要怎么排查问题?
紧急求助,谢谢大家!
4806 次点击
所在节点    问与答
32 条回复
Yien
2017-01-14 19:50:04 +08:00
@zk8802
cos
2017-01-14 20:00:07 +08:00
@cyr1l 那有什么奇怪的,以前那个 W 宿,听说有个部门专门接流量导流的生意。。。。
claysec
2017-01-14 20:01:45 +08:00
@ob 那就是运营商那边劫持了。不用说了
cyr1l
2017-01-14 20:15:06 +08:00
@cos 接推广链接的见过,还没见过接博彩网站的。
freestyle
2017-01-14 20:58:30 +08:00
上 https 看下 不出现了说明有劫持
ob
2017-01-14 21:02:07 +08:00
@vimffs
@Yien
@cos
@claysec
@cyr1l
@zk8802
谢谢各位,特别感谢 zk8802 的无私和专业的帮助。
问题如 zk8802 所定位的一样,确实是 ISP 被劫持。
已经提交工单,主机提供商已经处理完毕。
一开始他们只回复已处理,连个解释都没有,后面让技术客服解释具体原因说是:
“内网有人执行 ARP 劫持,疑似被黑,已经 Kill 。”
没有担责和抱歉的意思。

出现这种情况让我觉得,要是很多没去仔细分析网站细节的人,如果偷偷的被劫持一些小的广告或者其他很难被发现的的东西,是不是默默的承受这种劫持?
主要是这次的劫持太过猖狂和明显,要不然,我估计也发现不到。
kwx
2017-01-14 21:43:34 +08:00
@ob vps 环境时不时会因为有客户主机被黑导致 ARP ,安装 arp 防火墙就可以解决,或强制绑定 VPS 母鸡的 MAC 地址。
ob
2017-01-14 22:03:43 +08:00
@kwx 用的就是你们家的 vps 哦。折腾了半天。
artandlol
2017-01-14 22:26:36 +08:00
然而你间接暴露了他的 ip 一大波 100G 的流量正在路上
ob
2017-01-14 22:29:53 +08:00
@artandlol 哈哈,我的站说是还有些漏洞,这样就很尴尬了。
caomu
2017-01-14 22:44:34 +08:00
这就尴尬了。。。
claysec
2017-01-15 14:51:28 +08:00
@ob 这运营商。内网还能 arp

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/334550

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX