访问论坛有几率跳转至非法网站

zm0***

我一进论坛几秒就跳转网站，退出再进就好了

不想吃***

不想吃老鼠的喵 发表于 2024-7-20 21:16
07/20/2024 18:48
我在访问论坛时遇到了与楼主描述类似的情况（已无法对其进行复现）
以下是当时我的网络环 ...

07/21/2024 13:39
我在访问论坛时再次被重定向到一个域名为94***7.com的非法网站

接下来我将试图复现
并使用第三方网络拨测工具解析其IP地址

补充(07/21/2024 14:05):
问题无法复现
第三方工具对论坛的域名(klpbbs.com)解析的IP也没有发现跳转到非法网站

梦游的***

NanaSakura 发表于 2024-7-21 02:34
刷新数次未复现，请检查自身网络问题。

minebbs也出现过此类情况。我发现两个网站友链里面都有“木韩网络”。建议与“木韩网络”和“minebbs”等网站相关人员联系

如果minebbs没有挂木韩cdn请另当别论。

Saka***

刚刚（20:33），成功触发！
我的这回触发发现：本回触发到非法网站不是一步到位，中途还有一个站点（di?????.com），完整链接的 redirect from 的 ID 为 idjcgebc。
（h???s:?/di?????.com/redi?ect?fr?m=idjcgebc）
我再度访问 di?????.com ，不设置 ID 时跳转到其它站点，设置 ID 时回到最初站点。
-----------
建议：严查 reditect from 的那串 ID 和相关域名、涉及重定向的js代码、加密代码（域名不公开，管理可私信获取）
（21:47更新 我排查了一下，没发现什么，让我有点失望。）
-----------
21:00 补充：有没有人在电脑端发生的？如果没有的话，可以考虑排查手机端专属的代码。
------------
22:05 看到来自 @GomaoCraft 的打赏消息。回复：移动端页面的算，电脑端界面的不算。

zm0***

我进了se qing网站

我是***

不想吃老鼠的喵 发表于 2024-7-20 21:16
07/20/2024 18:48
我在访问论坛时遇到了与楼主描述类似的情况（已无法对其进行复现）
以下是当时我的网络环 ...

巧了，我也弹到过一个也是数字开头的网站

Saka***

两天内，第二回触发（二十三日20:36前后）
这次是di????f.com（不同于昨天的di????a.com）
然后被跳转到75????0:8???
---------------
三度触发（七月二十四日 15:16）
k*.com，不过这回第一次跳转失败，网络恰好中断，第二次跳转发生。

冰川***

我刚刚也触发了，网址是2????7.com:[端口号]。看来这个问题不是一个人的问题。

梦游的***

冰川橘子 发表于 2024-7-23 21:02
我刚刚也触发了，网址是2????7.com:[端口号]。看来这个问题不是一个人的问题。 ...

不要吵了，原因已经查明了
https://klpbbs.com/forum.php?mod=viewthread&tid=141757&page=1&mobile=2#pid10627226

Saka***

发现重要线索！

今日晚上22:34前后，我使用电脑+DevTool访问论坛，记录信息，然后发现一个异常的 JS 文件——checkcache.js。
我在论坛内从一个页面到达另外一个页面的时候，意外发现某次加载出现了两个没见过的名字。
检查请求网址之后，锁定 checkcache.js ，排除 jquery.min-3.7.0.js（这是个错误的决定）

我发现这个 checkcache.js 所在域名为 u???n.m????s.la 。
经过搜索之后，我发现这个域名有前科！

之前已经有人发博客表示这个域名有问题了，我将这个域名上送 VirusTotal 后发现，有杀毒引擎回报恶意！这是URL检索出现恶意！


考虑到这个是随机出现的，我建议严查移动端会涉及到的页面（templates/【模板名字】/touch/），当然最好是全站网页排查。重点检查 php 文件
23:16更新：当然是重点检查这个域名，以及可能涉及的插件文件

@苦力怕纸


1:18 更新：
建议：检查（移动端） forum.php 及其页脚（footer* 或 common 文件夹内）、template/【主题】/touch/ 内的内容！
理由见我在本主题的后续发帖的图片！


怕纸没回，问题也没解决，也不知道他看了还是没看，看了也不知道他会不会看更新，我要不要在 at 一次？

P2Cy: https://blog.feizhuqwq.com/86