首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
simonlu9
V2EX  ›  站长

求助 网站被劫持,每天第一次打开跳转棋牌网站,

  •   
  •   simonlu9 · 2024-02-01 16:08:04 +08:00 · 2385 次点击
    这是一个创建于 381 天前的主题,其中的信息可能已经有所发展或是发生改变。

    求助大家有什么好的检测工具,pc 访问是没问题的,移动端每天第一次访问就跳去棋牌广告,检查过代码是没问题,抓包的时候也不会,实在想不到好的方法

    第 1 条附言  ·  2024-02-02 09:21:29 +08:00
    已解决,谢谢大家,有一个 js 被注入了,特别感谢大佬 yumusb
  • 棋牌
  • 求助
  • 访问
  • 劫持
    27 条回复    2024-02-02 13:55:48 +08:00
    ntedshen
        1
    ntedshen  
       2024-02-01 16:21:25 +08:00
    挂个 http 代理 pc 上看。。。
    或者挂个 chrome 远程调试。。。

    话说怎么感觉是手机问题。。。
    simonlu9
        2
    simonlu9  
    OP
       2024-02-01 16:23:53 +08:00
    @ntedshen 试过,一挂代理或者远程调试就不会跳转
    xuing
        3
    xuing  
       2024-02-01 16:26:36 +08:00
    把手机的 UA 记下来,在 PC 上就可以复现了。其实你直接去看后台吧,肯定是被插马了,看看文件修改日期。先看看服务器怎么被入侵的。
    WoneFrank
        4
    WoneFrank  
       2024-02-01 16:39:57 +08:00 via iPhone
    你用手机挂代理去访问,这种多半是前段 js 里面有判断代码。可以根据 url 搜索 html ,js 文件,不过这种动态生成就没办法了。
    WoneFrank
        5
    WoneFrank  
       2024-02-01 16:40:18 +08:00 via iPhone
    @WoneFrank 打错了,前端 js
    Rache1
        6
    Rache1  
       2024-02-01 16:42:22 +08:00
    用了 CDN 的 JS ?
    ultimate42
        7
    ultimate42  
       2024-02-01 16:45:18 +08:00
    是不是叫什么真人三公 我网站也中招了
    simonlu9
        8
    simonlu9  
    OP
       2024-02-01 16:46:24 +08:00
    @Rache1 没有,用的都是 js 保存到服务器,
    @xuing 试过,都排查过了,我搜了文件内容 location.href,也没有
    simonlu9
        9
    simonlu9  
    OP
       2024-02-01 16:47:19 +08:00
    @xuing 手机的 UA 记下来,在 PC 上就可以复现了,没用
    simonlu9
        10
    simonlu9  
    OP
       2024-02-01 16:47:37 +08:00
    @ultimate42 开元棋牌
    x86
        11
    x86  
       2024-02-01 16:48:10 +08:00
    51la 统计?
    ultimate42
        12
    ultimate42  
       2024-02-01 16:49:00 +08:00
    搜下 eval 关键字呢
    ntedshen
        13
    ntedshen  
       2024-02-01 16:52:23 +08:00
    @simonlu9 wireshark 的 androiddump 按理讲浏览器是看不到的。。。
    或者要不起个 https 或者换个手机看看先?
    simonlu9
        14
    simonlu9  
    OP
       2024-02-01 16:59:15 +08:00
    @x86 https://clicky.com/
    pandaPapa
        15
    pandaPapa  
       2024-02-01 17:00:21 +08:00
    浏览器禁用下 js 看还跳转不, 如果还跳转很大很能是 meta 标签跳转的, 没之前的代码的, 整理覆盖下呢?
    dfkjgklfdjg
        16
    dfkjgklfdjg  
       2024-02-01 17:10:26 +08:00
    也有可能是 nginx 之类的。不一定非是前端部分。
    yumusb
        17
    yumusb  
       2024-02-01 17:15:30 +08:00   ❤️ 2
    开个 ssh 让我上去看看

    之前帮坛友 解决问题的记录
    https://v2ex.com/t/979950
    ysc3839
        18
    ysc3839  
       2024-02-01 17:18:01 +08:00 via Android
    先发链接来看看吧
    Li83Xi7Gai4
        19
    Li83Xi7Gai4  
       2024-02-01 17:26:31 +08:00
    上 https 吧
    Features
        20
    Features  
       2024-02-01 17:29:08 +08:00
    明显的 XSS 啊,从网站内容排查看看
    MFWT
        21
    MFWT  
       2024-02-01 17:30:13 +08:00
    估计是被挂马(包括但不限于后端定时注入跳转 JS/meta 标签,存储型 XSS )了
    ultimate42
        22
    ultimate42  
       2024-02-01 17:30:59 +08:00
    我是 php 文件被注入了 meta 和这段 js 跟你一样 一到移动端就自动跳转了 我这个还挺明显的 代码就在 head 里
    因为是公司的古董项目,我也不会 php 就把这段代码删掉完事 不知道后面还会不会再出现

    https://gist.github.com/10816187/6145daaf6991d7ac567e9415b6b5725d
    simonlu9
        23
    simonlu9  
    OP
       2024-02-01 17:37:28 +08:00
    @yumusb 绿色软件 bHVqaWFud2U5NTc3
    yumusb
        24
    yumusb  
       2024-02-01 18:10:15 +08:00   ❤️ 3
    秒了,首页引入的 JS 被插入了一句话用来引入一个全新的 JS ,里面的内容是 https://pastebin.com/J9AHf4DT
    huangzxx
        25
    huangzxx  
       2024-02-01 18:54:54 +08:00
    换其他证书试试,不用 Let's Encrypt 。
    看到你是套 cloudflare ,试试切到 Google Trust Services
    Fuor
        26
    Fuor  
       2024-02-02 09:28:05 +08:00
    @yumusb #24 可以再复盘一次了
    marvincible
        27
    marvincible  
       2024-02-02 13:55:48 +08:00
    代码是网上找的 php 模板吧,我也遇到过,web 文件夹先杀一遍,有些源码自带木马。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2871 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:36 · PVG 21:36 · LAX 05:36 · JFK 08:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.