Linux 服务器被劫持

2020-11-08 21:01:05 +08:00
 chenduoduo

前几天发现网站打开会被跳转到另外的网站,就是一会儿正常,过一会儿又跳了,应该设有时间限制。

最开始以为是自己的浏览器(firefox)被劫持了;

然后用其他浏览器发现仍然跳转,以为是自己的网络运营商这边的问题;

然后又让不同地方的十多个朋友测试,也会跳转,才发现事情严重,猜测应该是服务器上出了问题。

会跳转到这个,图片链接: http://tva1.sinaimg.cn/large/4b2958c9gy1gki28rq3xjj20tc0fkdhc.jpg

服务器:Liunx Centos 7.7(64 位)

装有 apache 、php 、mysql

在服务器上面搜索了关键词“haomil”没找到原因,因为连接很慢,还经常断掉,所以似乎没有找到相关记录,只在日志中看到有这个。

请问各位老师有没有什么方式方法可以提供,去除这个隐患,谢谢。

4318 次点击
所在节点    Linux
18 条回复
hellos
2020-11-08 21:07:07 +08:00
可以用 Burp Suite 看看网页跳转过程。
还有,跳转的网址未必是硬编码在源码中的。
chenduoduo
2020-11-08 21:19:02 +08:00
@hellos 应该不在网页代码中,因为服务器上的所有网站都会跳
opengps
2020-11-08 21:22:17 +08:00
这种跳转往往是多级跳,搜最终关键字未必管用。
你先试试将源代码备份,然后重新发布一下,看看是不是网页源文件注入了脚本,确认是的话,在用文本比对工具去分析差异
ThirdFlame
2020-11-08 21:31:56 +08:00
先通过跟踪 js 看看到底是哪里被插入了代码。
另外试试 https 会不会跳,是不是某个第三方的 js 库 被网络劫持了。
hcymk2
2020-11-08 21:56:49 +08:00
zlowly
2020-11-09 01:48:03 +08:00
如果所有 php 网页都出现这个情况(可以试试看 html 静态页面是不是没影响),也有可能 php 被入侵。
先看看网页源码的目录里,有没多了些.user.ini ,.htaccess 。通过看 phpinfo 或者直接查看 php.ini 内容,看看有没多出 auto_prepend_file 或者 auto_append_file 了。如果真的是这些地方有被动过,那么可能网站存在上传漏洞。
motecshine
2020-11-09 09:15:28 +08:00
生蚝视频看了大补么
chenduoduo
2020-11-09 09:20:00 +08:00
@zlowly

phpinfo 里面 auto_prepend_file 、auto_append_file 值都是 no value
对了,用了 BT 面板,会自动生成.user.ini 文件,但是里面没有有问题的代码。
而伪静态.htaccess 文件也是正常的。
chenduoduo
2020-11-09 09:20:20 +08:00
@motecshine

不知道呀,那些都是灰产吧
chenduoduo
2020-11-09 09:22:52 +08:00
@ThirdFlame

第三方的就只用了:
cdn.bootcss.com/font-awesome/4.7.0/css/font-awesome.min.css
以及百度统计和百度推送,应该是不可能有问题的
chenduoduo
2020-11-09 09:23:40 +08:00
@opengps 谢谢。换到了另外的服务器就没有问题,代码应该没有问题
chenduoduo
2020-11-09 09:26:17 +08:00
@hcymk2

这两个好牛的样子,不懂就问一下,这两站站是什么作用的,好高大上。

有一次跳没跳得过去,的确是看到用的 http-equiv="refresh"
opengps
2020-11-09 09:36:48 +08:00
@chenduoduo 代码没问题的话,查查主机里是不是有某些进程。
我客户当初中过一个广告病毒,我查了下是个异常的进程,那个进程网上一搜很容易了解到是个基于主机内部的广告,由于从源头出发,所以原站即使 https 都照样被插入广告脚本。当时没有写博客习惯,所以现在也就没留下当时的关键字。
newee
2020-11-09 09:55:45 +08:00
liuxu
2020-11-09 11:40:35 +08:00
以前追查代码,发现在 smarty 内核里,加密过
zgcwkj
2020-11-09 17:11:36 +08:00
有没有可能是,服务商搞鬼?
gogolive
2020-11-11 18:12:03 +08:00
同样的问题,怎么解决的,楼主
gogolive
2020-11-14 02:11:55 +08:00
@chenduoduo 是香港服务器?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/722978

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX