事情起因是:
小罗在昨天早上起床
浏览了小罗资源网,自然随便点了几个文章,看看访问情况。
在浏览网页的时候突然来了一个跳转。
直接给我干的开元棋牌上的,我又没有点击,这谁受得了。
情况如下:
气得马上开电脑,进行排查。
直接上工具抓流量包。
好家伙,在访问网站的时候,自动还发起了一个get请求。
以下我是试www.xiaoluo3.cc资源网导航网的时候(因为导航页页被挂马了)。
直接请求了js,马上趴源码来看是不是被填加到页面上了。
排查了一圈都没有发现有引用了chart-2.6.3.js。
就特别奇怪。
然后在BP上找到了js的引用。
顺着js的请求,进行请求下去。
发现了好几层的跳转才跳转到开元棋牌了。
但是知道了问题所在,但是不知道是通过什么进来的。
目前还没线索,但是我突然记起可能是宝塔官方的漏洞。
不会已经被挂马了?一下子就心急了,忘记排查了,直接升级到最新面板了。
好消息是js请求不见。但是坏消息的是忘记排查黑客是通过什么方式进行攻击的。
凭经验猜测是nginx篡改了。
/www/server/nginx/sbin/nginx
目前算是解决,再详细排查得带下次遇到了
有经验了
建议:
1.升级到最新版本宝塔面板
2.要是不需要面板操作就停到宝塔的面板(停到不会影响网站正常运行。)
使用命令bt stop暂停面板
使用命令bt start启动面板。
本来是想溯源的,但是这家伙也套了cloudflare。
要获取真实IP,必须进行流量清洗等方法。
太麻烦了就暂时不处理了。
有兴趣的可以试试绕过cdn找真实IP。
JS:http://www.bootjs.info/chart-2.6.1.js
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途。本站所有信息均来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权不妥之处请致信 E-mail:[email protected] 我们会积极处理。敬请谅解!
|