共计 633 个字符,预计需要花费 2 分钟才能阅读完成。
前两天用户反馈移动端网页访问不正常,一查看发现,特定的路由会触发跳转到黄色广告地址。
如:
网址:https://www. 网址.com/edu 在 pc 端正常访问,但在移动端就会被跳转到其他网站上。
如修改路由为 /edu123 也会跳转,修改为 /ed 则不会。初步判断关键字为edu。
进行排查:
dns污染
网站都是使用了https,排除nginx
通过查看日志以及转发记录,发现 /edu 被转发到了 php-cgi,排除
php
在排查时在看见 v2 中有人遇到类似的问题,于是照着大佬的思路排查,结果发现每个站都被添加了一个 pass.php 文件。
根据代码内容搜索,是用 Godzilla 生成的木马脚本。对网络安全这个块不太懂,有没有大佬知道怎么切底清除这个脚本带来的影响?
初步处理尝试:
清除每个站点下的 pass.php 文件,以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后,重启 php 服务再次访问。
结果还是一样会跳转到其他网站。。。
继续排查:
查看 php 慢日志时,发现请求网页时有执行 file_get_contents 函数,于是循着文件路径查看,找到了罪魁祸首,项目 composer 下的 autoload_real.php 被植入了一行代码,删除掉后网址恢复正常。
疑问请求:
请问这是利用了 composer 的漏洞吗?composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的?因为我看到这些文件都是 www 宝塔用户上传的。
正文完
