1
yidinghe 102 天前 via Android
防止被篡改的办法就是用 HTTPS
|
2
cwxiaos 102 天前 via iPhone
看看供应链投毒
|
3
mercury233 102 天前
|
4
xuecan 102 天前
遇到过 有 js 投毒
|
7
follow 102 天前
看看有无引用第三方 js ,比如 第三方的统计代码,也会投毒。以及 dns 解析有没有问题。
|
8
x86 102 天前
盲猜 51la
|
9
xfl 102 天前 via iPhone
大佬们,我之前遇到过 it 之家手机网页跳转到不良网站,开翻墙就行了。怎么回事
|
10
hefish 102 天前
情况还是讲具体点吧,这个黄色广告是插入 div 的,还是跳转到新 url 的,还是其他的情况,
浏览器用手机模式情况怎样。 本地电脑 curl 下来的结果,跟在服务器端 curl 到的结果一致不 不能说个结论,然后让大家猜过程啊。 |
11
LLaMA2 102 天前
网址发来,群友鉴赏!
|
14
Raynard 102 天前
js 吧,之前遇见过
|
15
Raynard 102 天前
友情提示,非必要的话先把解析停了,
我们那次网站被篡改被网警查水表了,下的整改通知,还得回复情况说明、整改情况。 |
16
Y25tIGxpdmlk 102 天前
|
18
SSSLC77 OP @Y25tIGxpdmlk #16 谢谢你的补充,非常感谢
|
20
hefish 102 天前
网警都通知有问题啦,那还下结论说代码没问题。。。
这个结论下的草率啊。。。 |
21
nwu2Cv8OZ2MZMg39 102 天前
|
24
nwu2Cv8OZ2MZMg39 102 天前
@SSSLC77 用电脑访问呢?
|
26
nwu2Cv8OZ2MZMg39 102 天前
@SSSLC77 那就是代码被篡改了,估计是被投毒了
|
27
ewiglicht 102 天前
DNS 污染?
非专业人员,瞎猜的,只是觉得这种情况有点像 DNS 污染。仅供参考。 可以手机全局代理访问网站试一下。 |
28
nwu2Cv8OZ2MZMg39 102 天前
@SSSLC77 要不是前端代码写了链接跳转,要不就是后端接口判断是移动端就发起重定向
|
29
superkkk 102 天前 via iPhone 2
php+宝塔,纯度拉满了,肯定是服务器的 js 被加上了定时随机小概率跳转的恶意代码。
|
30
mxalbert1996 102 天前 via Android
移动端 Chrome 也可以用 DevTools 呀,看一下在哪里跳转的呗
|
31
moh 102 天前 via iPhone
域名解析用的 cf 吗
|
32
cslive 102 天前 via Android
随机检测的,cdn 被投毒了吧
|
33
akira 102 天前
地址发出来,2 分钟 广大网友就能给你把问题扒干净了
|
35
xuecan 102 天前
@Y25tIGxpdmlk #16 有道理 那跟我遇到的不一样 我遇到的是 php 后门导致 index.php 被篡改了 多了一段 js
|
36
NESeeker 102 天前 via Android
talk is cheap, show me the domain name.
|
37
osilinka 102 天前
在烟台的一个大酒店碰到过:
而且还比较奇怪的是,那个色情网站就在厕所里显示 在外面大堂还不显示。 |
38
illl 102 天前 via iPhone
大概率已经被拿下了,网站是不是有漏洞
|
39
virusdefender 102 天前
大概率网站有漏洞,小概率是宝塔的 nginx 被改了,之前发现过这个样本
|
40
virusdefender 102 天前
grep 56d86f7d8382402517f3b5 试试,已知的后门有这个特征
|
41
jeremaihloo 102 天前
不要用宝塔呀,宝塔一堆漏洞,直接服务器被拿权限的那种,宝塔谁用谁知道
|
42
lisongeee 102 天前 1
这官网链接是有什么不能发的原因吗?
你在 GitHub 提 issue 都得发运行上下文环境和复现 demo ,这是让广大网友靠猜啊? |
43
Hyschtaxjh 102 天前 via iPhone
链接是不可能发的
家丑不能外扬 |
45
SSSLC77 OP 找了阿里云的售后工程师,说是 php7.3 版本漏洞导致的被篡改路由,现在更换回到 7.2 版本先看看。我也不是专业的,也只能先按照这个办法试试了。
|
46
SSSLC77 OP @Hyschtaxjh #43 网警第一时间让我们停了,并让我们搞好后跟他们说下,然后再重新开启
|
47
encro 102 天前
如果你的网站是 https 的,那么可能是植入的 js 不是 https 的。比如某些平台的统计代码之类的。
|
49
SSSLC77 OP 谢谢大家的热心回复,非常感谢你们。
|
50
encro 102 天前 1
@SSSLC77
确定没有问题了吗? 这个问题一般是当地通信行业黑产,第一次访问如果不是 HTTPS 就会被注入代码,再次刷新又没了。 要测试必须用不同的人设备去访问,一般是 100%第一次能复现。 这个黑产有多达?我曾今在用户群数量还不错的某公司做了一个测试,全国范围比例大于 20%。 |
52
Walk52 102 天前
控制台重写 window.open 方法,然后查看函数调用栈,大概就这个样子排查前端吧
|
53
proxytoworld 102 天前 1
1. 拦截请求,用 ua 伪装插件使用手机 ua ,看调用栈
2. 如果不是前端,查看 nginx 配置 当然最好是重装系统 |
54
gaobh 102 天前
是不是用了 goedge 的 cdn ?
|
55
actar 102 天前
排查一下有没有通过第三方的 cdn 引入 js 文件。如果是手动引入的 js 库文件,检查一下 js 文件和官方的有没有差别。
|
56
BwNVlwSq 102 天前
大概是第三方 CDN 的锅..
|
57
sfdev 102 天前
不像是 CDN 的问题,服务器那边被篡改的
|
58
andytao 102 天前
貌似是 DNS 被劫持了,DNS 解析服务器切换新的试试?再不行检查一下本地 DNS 和 HOSTS 是否被篡改?
|
59
kuufei8989 99 天前
@x86 #8 哈哈 老流氓了。试过被 51 拉投毒。
|