1.
@老虎会游泳
F12 发现 jquery.min.js 被植入恶意js代码
这个是我偶然发现的,因为 jquery.min.js 是网页第一个加载的 js 文件,所以一眼就发现了。
如果说相关js代码藏的比较深,我应该如何找到?我尝试过重新定义 window.open,使其抛出异常打印堆栈,但是不行
小米MIX2s(白)
2.
@天蓝,怎么都是啊,我这里我有一个类似的。微信群友的网站也这样了。第一次访问就会跳转
https://bbs.xzwidea.cn
@老虎会游泳,
一加8Pro
4.
@罐子,我靠,弹的内容一模一样
小米MIX2s(白)
5.
目前进展:已经排查出是nginx出了问题
依据:在宝塔切换nginx到1.22后,不再挂马,再切换回1.20,也不再挂马(切换nginx版本相当于卸载重装)
现象:之前的nginx会对【符合条件的js文件,即文件达到一定长度】的响应内容中追加恶意js
难点:目前不知道为何nginx会追加恶意js,大致检查了下nginx配置文件,并未发现问题
不知道服务器是不是已经被入侵留木马了
小米MIX2s(白)
12.
@梦浪的小虾米,编译安装的nginx v1.20,其他的phpmyadmin,php版本什么的不确定
@罐子,另外罐子的群友遇到同样的挂马,是极速安装的nginxv 1.22(也是用的宝塔)
最新进展:使用goby和nessus扫描工具并未扫出服务器漏洞
小米MIX2s(白)
14.
@罐子,现在不清楚是否还能复现
1.一开始是电脑都会弹
2.后面是只有手机会弹
3.重装nginx后次日晚,有两个使用校园网的访问反馈依然弹窗,但是更换数据流量后正常,证明不是浏览器js缓存的问题
4.可能又被挂马了,但是不是所有访问都弹,可能只有部分IP会弹,也不好复现
5.观察中
小米MIX2s(白)
15.
@天蓝,可能要考虑一下是不是地方运营商内部加了劫持工具,我之前在网上就看到有人干过这个事。
在全国各个机房收买内部运维人员等植入恶意程序进行劫持。
一加8Pro
16.
@罐子,不会的,用了 https
小米MIX2s(白)
17.
@罐子,用了 https 应该不是中间人,例如运营商。。不过买通内部运维倒是有点可能,出现问题的两个网站服务器好像都在同一家公司的机房
小米MIX2s(白)
19.
@大尨,有的会根据IP什么的决定
小米MIX2s(白)
20.
最新进展:之前重装nginx后 现在问题复现
小米MIX2s(白)
21.
刚刚在宝塔论坛看了下,很多人出现类似的问题,已经有人排查出是nginx二进制文件被替换了
小米MIX2s(白)