2022.9.30 重新编辑整理如下
【现象描述】
1.访问网站(需使用手机user-agent),弹出新标签,跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码
【已做排查】
【目前进展】
已经排查出是nginx出了问题
【过了几天后】
网站再次被挂弹窗,现象和之前一样
【目前推测】
@天蓝,怎么都是啊,我这里我有一个类似的。微信群友的网站也这样了。第一次访问就会跳转
https://bbs.xzwidea.cn
@老虎会游泳,
一加8Pro
目前进展:已经排查出是nginx出了问题
依据:在宝塔切换nginx到1.22后,不再挂马,再切换回1.20,也不再挂马(切换nginx版本相当于卸载重装)
现象:之前的nginx会对【符合条件的js文件,即文件达到一定长度】的响应内容中追加恶意js
难点:目前不知道为何nginx会追加恶意js,大致检查了下nginx配置文件,并未发现问题
不知道服务器是不是已经被入侵留木马了
小米MIX2s(白)
@晨曦,我不是很会看漏洞,这是搜索到的一些nginx相关漏洞
https://www.tenable.com/cve/search?q=nginx&sort=newest&page=1
小米MIX2s(白)
最新进展:之前重装nginx后 现在问题复现
小米MIX2s(白)
刚刚在宝塔论坛看了下,很多人出现类似的问题,已经有人排查出是nginx二进制文件被替换了
小米MIX2s(白)
@老虎会游泳
F12 发现 jquery.min.js 被植入恶意js代码
这个是我偶然发现的,因为 jquery.min.js 是网页第一个加载的 js 文件,所以一眼就发现了。
如果说相关js代码藏的比较深,我应该如何找到?我尝试过重新定义 window.open,使其抛出异常打印堆栈,但是不行
小米MIX2s(白)