V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
SSSLC77
V2EX  ›  问与答

求助!公司官网用手机端访问是会转跳到黄色广告页面

  •  
  •   SSSLC77 · 75 天前 · 6109 次点击
    这是一个创建于 75 天前的主题,其中的信息可能已经有所发展或是发生改变。
    项目结构是 php ,用宝塔部署的,代码已经查杀过了,没有发现可疑代码,放到本地运行就正常,但是一放到服务器,就会出现这个问题,好像是直接访问网址的那一刻时被篡改的,有没有大佬懂的。
    59 条回复    2024-09-10 12:55:10 +08:00
    yidinghe
        1
    yidinghe  
       75 天前 via Android
    防止被篡改的办法就是用 HTTPS
    cwxiaos
        2
    cwxiaos  
       75 天前 via iPhone
    看看供应链投毒
    mercury233
        3
    mercury233  
       75 天前
    xuecan
        4
    xuecan  
       75 天前
    遇到过 有 js 投毒
    SSSLC77
        5
    SSSLC77  
    OP
       75 天前
    @yidinghe #1 网站建立初期到现在都是 https 呢,诶
    SSSLC77
        6
    SSSLC77  
    OP
       75 天前
    @xuecan #4 那像 js 投毒会在服务器生成恶意代码吗,我还没见过,不是很懂
    follow
        7
    follow  
       75 天前
    看看有无引用第三方 js ,比如 第三方的统计代码,也会投毒。以及 dns 解析有没有问题。
    x86
        8
    x86  
       75 天前
    盲猜 51la
    xfl
        9
    xfl  
       75 天前 via iPhone
    大佬们,我之前遇到过 it 之家手机网页跳转到不良网站,开翻墙就行了。怎么回事
    hefish
        10
    hefish  
       75 天前
    情况还是讲具体点吧,这个黄色广告是插入 div 的,还是跳转到新 url 的,还是其他的情况,
    浏览器用手机模式情况怎样。
    本地电脑 curl 下来的结果,跟在服务器端 curl 到的结果一致不

    不能说个结论,然后让大家猜过程啊。
    LLaMA2
        11
    LLaMA2  
       75 天前
    网址发来,群友鉴赏!
    SSSLC77
        12
    SSSLC77  
    OP
       75 天前
    @hefish #10 应该服务器中,解析域名后到网站相应这个中间位置被改了,大概是被插入标签了
    SSSLC77
        13
    SSSLC77  
    OP
       75 天前
    @follow #7 这个倒是没有,dns 就很怀疑有问题,但是不知道怎么下手
    Raynard
        14
    Raynard  
       75 天前
    js 吧,之前遇见过
    Raynard
        15
    Raynard  
       75 天前
    友情提示,非必要的话先把解析停了,
    我们那次网站被篡改被网警查水表了,下的整改通知,还得回复情况说明、整改情况。
    Y25tIGxpdmlk
        16
    Y25tIGxpdmlk  
       75 天前
    @yidinghe #1 @xuecan #4 @follow #7 他都说了放在本地正常,一到服务器就有问题,所以大概率是服务器的问题。被植入后门了,然后通过某些 nginx 扩展之类的,在访问的时候插入代码。
    SSSLC77
        17
    SSSLC77  
    OP
       75 天前
    @Raynard #15 谢谢你,我们就是被网警通知有漏洞之后才知道的。
    SSSLC77
        18
    SSSLC77  
    OP
       75 天前
    @Y25tIGxpdmlk #16 谢谢你的补充,非常感谢
    SSSLC77
        19
    SSSLC77  
    OP
       75 天前
    @Raynard #14 没找到呢,线上环境也没找到,可能是跳转瞬间植入的
    hefish
        20
    hefish  
       75 天前
    网警都通知有问题啦,那还下结论说代码没问题。。。
    这个结论下的草率啊。。。
    SSSLC77
        23
    SSSLC77  
    OP
       75 天前
    @VikingX #21 谢谢你的回复,我这边看下
    nwu2Cv8OZ2MZMg39
        24
    nwu2Cv8OZ2MZMg39  
       75 天前
    @SSSLC77 用电脑访问呢?
    SSSLC77
        25
    SSSLC77  
    OP
       75 天前
    @VikingX #24 电脑访问是正常的,唯独移动端会出现这个问题
    nwu2Cv8OZ2MZMg39
        26
    nwu2Cv8OZ2MZMg39  
       75 天前
    @SSSLC77 那就是代码被篡改了,估计是被投毒了
    ewiglicht
        27
    ewiglicht  
       75 天前
    DNS 污染?
    非专业人员,瞎猜的,只是觉得这种情况有点像 DNS 污染。仅供参考。
    可以手机全局代理访问网站试一下。
    nwu2Cv8OZ2MZMg39
        28
    nwu2Cv8OZ2MZMg39  
       75 天前
    @SSSLC77 要不是前端代码写了链接跳转,要不就是后端接口判断是移动端就发起重定向
    superkkk
        29
    superkkk  
       75 天前 via iPhone   ❤️ 2
    php+宝塔,纯度拉满了,肯定是服务器的 js 被加上了定时随机小概率跳转的恶意代码。
    mxalbert1996
        30
    mxalbert1996  
       75 天前 via Android
    移动端 Chrome 也可以用 DevTools 呀,看一下在哪里跳转的呗
    moh
        31
    moh  
       75 天前 via iPhone
    域名解析用的 cf 吗
    cslive
        32
    cslive  
       75 天前 via Android
    随机检测的,cdn 被投毒了吧
    akira
        33
    akira  
       75 天前
    地址发出来,2 分钟 广大网友就能给你把问题扒干净了
    xuecan
        34
    xuecan  
       75 天前
    @SSSLC77 #6 不是的 你 php 有后门 被人加了一段 js 那段 js 判断了 user-agent 当是手机端的时候就会跳转
    xuecan
        35
    xuecan  
       75 天前
    @Y25tIGxpdmlk #16 有道理 那跟我遇到的不一样 我遇到的是 php 后门导致 index.php 被篡改了 多了一段 js
    NESeeker
        36
    NESeeker  
       75 天前 via Android
    talk is cheap, show me the domain name.
    osilinka
        37
    osilinka  
       75 天前
    在烟台的一个大酒店碰到过:

    而且还比较奇怪的是,那个色情网站就在厕所里显示

    在外面大堂还不显示。
    illl
        38
    illl  
       75 天前 via iPhone
    大概率已经被拿下了,网站是不是有漏洞
    virusdefender
        39
    virusdefender  
       75 天前
    大概率网站有漏洞,小概率是宝塔的 nginx 被改了,之前发现过这个样本
    virusdefender
        40
    virusdefender  
       75 天前
    grep 56d86f7d8382402517f3b5 试试,已知的后门有这个特征
    jeremaihloo
        41
    jeremaihloo  
       75 天前
    不要用宝塔呀,宝塔一堆漏洞,直接服务器被拿权限的那种,宝塔谁用谁知道
    lisongeee
        42
    lisongeee  
       75 天前   ❤️ 1
    这官网链接是有什么不能发的原因吗?

    你在 GitHub 提 issue 都得发运行上下文环境和复现 demo ,这是让广大网友靠猜啊?
    Hyschtaxjh
        43
    Hyschtaxjh  
       75 天前 via iPhone
    链接是不可能发的
    家丑不能外扬
    SSSLC77
        44
    SSSLC77  
    OP
       75 天前
    @lisongeee #42 1 不好意思,现在已经停掉了,有点尴尬,不过找到问题了
    SSSLC77
        45
    SSSLC77  
    OP
       75 天前
    找了阿里云的售后工程师,说是 php7.3 版本漏洞导致的被篡改路由,现在更换回到 7.2 版本先看看。我也不是专业的,也只能先按照这个办法试试了。
    SSSLC77
        46
    SSSLC77  
    OP
       75 天前
    @Hyschtaxjh #43 网警第一时间让我们停了,并让我们搞好后跟他们说下,然后再重新开启
    encro
        47
    encro  
       75 天前
    如果你的网站是 https 的,那么可能是植入的 js 不是 https 的。比如某些平台的统计代码之类的。
    SSSLC77
        48
    SSSLC77  
    OP
       75 天前
    @encro #47 谢谢你的回复,目前暂时是没什么问题了。不知之后如何
    SSSLC77
        49
    SSSLC77  
    OP
       75 天前
    谢谢大家的热心回复,非常感谢你们。
    encro
        50
    encro  
       75 天前   ❤️ 1
    @SSSLC77
    确定没有问题了吗?
    这个问题一般是当地通信行业黑产,第一次访问如果不是 HTTPS 就会被注入代码,再次刷新又没了。
    要测试必须用不同的人设备去访问,一般是 100%第一次能复现。
    这个黑产有多达?我曾今在用户群数量还不错的某公司做了一个测试,全国范围比例大于 20%。
    SSSLC77
        51
    SSSLC77  
    OP
       75 天前
    @encro #50 我也不敢保证没有问题,毕竟我领导都不怎么追究了,有点难蚌。
    Walk52
        52
    Walk52  
       75 天前
    控制台重写 window.open 方法,然后查看函数调用栈,大概就这个样子排查前端吧
    proxytoworld
        53
    proxytoworld  
       75 天前   ❤️ 1
    1. 拦截请求,用 ua 伪装插件使用手机 ua ,看调用栈
    2. 如果不是前端,查看 nginx 配置

    当然最好是重装系统
    gaobh
        54
    gaobh  
       75 天前
    是不是用了 goedge 的 cdn ?
    actar
        55
    actar  
       75 天前
    排查一下有没有通过第三方的 cdn 引入 js 文件。如果是手动引入的 js 库文件,检查一下 js 文件和官方的有没有差别。
    BwNVlwSq
        56
    BwNVlwSq  
       75 天前
    大概是第三方 CDN 的锅..
    sfdev
        57
    sfdev  
       75 天前
    不像是 CDN 的问题,服务器那边被篡改的
    andytao
        58
    andytao  
       75 天前
    貌似是 DNS 被劫持了,DNS 解析服务器切换新的试试?再不行检查一下本地 DNS 和 HOSTS 是否被篡改?
    kuufei8989
        59
    kuufei8989  
       72 天前
    @x86 #8 哈哈 老流氓了。试过被 51 拉投毒。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1657 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:51 · PVG 00:51 · LAX 08:51 · JFK 11:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.