2022.9.30 重新编辑整理如下

【现象描述】
1.访问网站（需使用手机user-agent），弹出新标签，跳转色情网页
2.F12 发现很多 js 文件都被植入恶意代码

【已做排查】

1. 使用了 https，排除中间人可能
2. 使用D盾和宝塔查杀网站目录，未查杀出内容
3. 检查 js 文件最后修改日期，近期没有修改
4. 查看 js 文件内容，里面并没有恶意代码（但是浏览器请求到的 js 中有恶意代码）
5. 在 linux 服务器上用 auditd 监控js文件，并未发现相关js被动过
6. 使用 goby 和 nessus 扫描服务器，并未发现高危漏洞

【目前进展】
已经排查出是nginx出了问题

1. 依据：重装 nginx 后，返回浏览器的 js 文件未发现恶意代码
2. 现象补充：并非所有 js 文件都会被加恶意代码，只有符合条件的js（文件达到一定长度）的才会被加恶意代码

【过了几天后】
网站再次被挂弹窗，现象和之前一样

【目前推测】

1. 宝塔某个下载节点 nginx 源头被污染（有两个网友，都用的宝塔，出现同样现象，被挂的恶意代码一模一样）
2. 多节点 ping 这两个网友的节点，都有 cloudinnovation，不知道是否是他的问题
3. 服务器或相关组件存在 0day
4. 服务器应该已经被植入后门了
   小米MIX2s(白)

@老虎会游泳
F12 发现 jquery.min.js 被植入恶意js代码

这个是我偶然发现的，因为 jquery.min.js 是网页第一个加载的 js 文件，所以一眼就发现了。
如果说相关js代码藏的比较深，我应该如何找到？我尝试过重新定义 window.open，使其抛出异常打印堆栈，但是不行
小米MIX2s(白)

@天蓝，怎么都是啊，我这里我有一个类似的。微信群友的网站也这样了。第一次访问就会跳转
https://bbs.xzwidea.cn
@老虎会游泳，
一加8Pro

@罐子，我靠，弹的内容一模一样
小米MIX2s(白)

目前进展：已经排查出是nginx出了问题
依据：在宝塔切换nginx到1.22后，不再挂马，再切换回1.20，也不再挂马（切换nginx版本相当于卸载重装）
现象：之前的nginx会对【符合条件的js文件，即文件达到一定长度】的响应内容中追加恶意js
难点：目前不知道为何nginx会追加恶意js，大致检查了下nginx配置文件，并未发现问题

不知道服务器是不是已经被入侵留木马了
小米MIX2s(白)

@晨曦，我不是很会看漏洞，这是搜索到的一些nginx相关漏洞

https://www.tenable.com/cve/search?q=nginx&sort=newest&page=1
小米MIX2s(白)

@加勒比海带，早不搞了
小米MIX2s(白)

@梦浪的小虾米，编译安装的nginx v1.20，其他的phpmyadmin，php版本什么的不确定

@罐子，另外罐子的群友遇到同样的挂马，是极速安装的nginxv 1.22（也是用的宝塔）

最新进展：使用goby和nessus扫描工具并未扫出服务器漏洞
小米MIX2s(白)

@天蓝，现在还能复现吗
一加8Pro

@罐子，现在不清楚是否还能复现
1.一开始是电脑都会弹
2.后面是只有手机会弹
3.重装nginx后次日晚，有两个使用校园网的访问反馈依然弹窗，但是更换数据流量后正常，证明不是浏览器js缓存的问题
4.可能又被挂马了，但是不是所有访问都弹，可能只有部分IP会弹，也不好复现
5.观察中
小米MIX2s(白)

@天蓝，可能要考虑一下是不是地方运营商内部加了劫持工具，我之前在网上就看到有人干过这个事。
在全国各个机房收买内部运维人员等植入恶意程序进行劫持。

一加8Pro

@罐子，不会的，用了 https
小米MIX2s(白)

@罐子，用了 https 应该不是中间人，例如运营商。。不过买通内部运维倒是有点可能，出现问题的两个网站服务器好像都在同一家公司的机房
小米MIX2s(白)

@大尨，有的会根据IP什么的决定
小米MIX2s(白)

最新进展：之前重装nginx后 现在问题复现
小米MIX2s(白)

刚刚在宝塔论坛看了下，很多人出现类似的问题，已经有人排查出是nginx二进制文件被替换了
小米MIX2s(白)