开启辅助访问     
收藏本站

站内搜索

搜索

Minecraft(我的世界)苦力怕论坛

 发表于 2024-7-25 00:15:19 来自手机|显示全部楼层 IP:江苏省
Sakarwei 发表于 2024-7-24 22:46
发现重要线索!

今日晚上22:34前后,我使用电脑+DevTool访问论坛,记录信息,然后发现一个异常的 JS 文件 ...

实际上问题是,你发现的是js文件,而js文件的来源可能是服务器,也可能是cdn。
不排除服务器出了问题,假设木韩的cdn api出问题,那么在站点源服务器是找不到对应文件的。况且在minebbs等站点也发生了此事件,而两个论坛用的模版不同。因此你所发现的js文件来源可能为cdn

评分

参与人数 1铁粒 +7收起理由
 Saka*** + 7可能CDN系统,我被说服,见下文

查看全部评分

苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-25 00:37:10|显示全部楼层 IP:广东省
本帖最后由 Sakarwei 于 2024-7-25 01:21 编辑
梦游的123444 发表于 2024-7-25 00:15
实际上问题是,你发现的是js文件,而js文件的来源可能是服务器,也可能是cdn。
不排除服务器出了问题,假 ...

部分赞同,关键就是谁让它来的。从请求细节看,我个人认为,JS 文件来自 恶意站点、请求 JS 文件的上游来自本站或 CDN 的这种情况可能性最大,因此我的想法是:找出是谁向这个 恶意站点 发起请求、要求使用这个 JS 的内鬼

只是,我个人认为,更可能来自在 服务器 里面的 插件 或者 PHP 文件里面,特别是如果这段时间本站点更新了插件的情况下。
(我突然联想到这段时间服务器宕机几次,会不会有一次就是入侵呢?)
但我也不排除 CDN 投毒的可能,因为我(后续)了解到已经有部分 CDN 被投毒了,不排除 木韩 是其中一个受害者。
还有的可能,就是插件的发布源也被投毒,然后本站或 CDN 更新时使用了带毒插件,导致问题发生。



0:39 更新:
我还查到 jQuery 部分插件(比如本站用到的 lazyload)似乎(不确定)与 Polyfill 有关系,因此我还是怀疑 有可能和 CDN 无关。(lazyload 文件所在域名就是 klpbbs.com)(但是,本站的 lazyload 是否和 Polyfill 有关的那个我还不好说,看起来又没有)

jQuery 的用户就很多了,minebbs 说不定也用了,所以就这个我还是不好说是 服务器的问题还是 CDN 的问题。


0:50 更新:(不用看了)
发现 minebbs 存在部分代码涉及 Polyfill,但不知道关系;本站还没有,因此我还是不确定。或许两边的病根不同也说不定。
总之依旧无法排除服务器内文件的问题,也无法排除 CDN 的问题。




1:18 更新:
建议:检查(移动端) forum.php 及其页脚(footer* 或 common 文件夹内)、template/【主题】/touch/ 内的内容!
理由见附件。
直接写入到 PHP 的,我还没见过 CDN 可以这样操作。
截图_选择区域_20240725011236.png
截图_选择区域_20240725011558.png
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-25 04:14:14 来自手机|显示全部楼层 IP:浙江省
Sakarwei 发表于 2024-7-25 00:37
部分赞同,关键就是谁让它来的。从请求细节看,我个人认为,JS 文件来自 恶意站点、请求 JS 文件的上游来 ...

这个貌似是js注入的,他也是随机出现的
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-25 05:47:20|显示全部楼层 IP:广东省
本帖最后由 Sakarwei 于 2024-7-25 05:54 编辑
苦力怕纸 发表于 2024-7-25 04:14
这个貌似是js注入的,他也是随机出现的

本文内容的测试环境为 Linux(Ubuntu Server)
执行指令时不要乱加尖括号“>”和“<”,否则可能损坏文件甚至系统!

我的排查方案

如果排查无结果,那么尝试

字符串替换,阻止这个罪恶的域名(jsdelivr.vip)出现在页面里面。
Nginx 是这样子的:



好像是这样子吧……

有没有可能是有内鬼程序在里面不断读写修改页面/模板文件呢?

如果传递过程没有问题,只是这串内容在文件里面随机出现,那么……
记录文件操作(读写等)
inotifywait ←Linux 上有这么一个工具(非自带,怎么安装得看发行版和包管理器)

检查 定时任务计划/Crontab
  1. <blockquote>ls /etc/cron.*
复制代码
之类的,
(DZ我又求你别又像 https://klpbbs.com/thread-139627-1-2.html 说的那样吞这段代码,刚刚你已经吞过两回了)我不干了。
↓↓↓

ls /etc/cron.*
cat /etc/cron.*/*
cat /etc/crontab





苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-25 20:43:20|显示全部楼层 IP:浙江省
Sakarwei 发表于 2024-7-25 05:47
本文内容的测试环境为 Linux(Ubuntu Server)
执行指令时不要乱加尖括号“>”和“ ...

不是程序本体出的问题,这个内容是被拼接上去的,程序文件里没有这个引用的

评分

参与人数 1铁粒 +1收起理由
 Saka*** + 1真伤脑筋

查看全部评分

苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-25 22:00:56|显示全部楼层 IP:广东省
本帖最后由 Sakarwei 于 2024-7-25 22:14 编辑
苦力怕纸 发表于 2024-7-25 20:43
不是程序本体出的问题,这个内容是被拼接上去的,程序文件里没有这个引用的
...

我似乎又找到一个好方法:事先破坏脚本执行环境,阻止脚本传送用户。

原理:利用 JS 的 const 。const 规定的内容可以防止被非 const 者规定覆盖。

实操:
通用头部模板添加上:(要通用,不然有的页面依旧有跳转风险。)(没留尖括号 script 标签,因为我要避免它屏蔽)
  1. const loadJS="";
  2. const _0x2d7370="";
  3. const _0x403866="";
  4. const _0x3b0ea1="";
复制代码
关键点:在带毒脚本运行之前事先占用该脚本需要的函数或参数
(我选择了这几个,因为分析了一下代码之后我觉得这些比较关键。)

理想结果:在毒脚本不出现时风平浪静,毒脚本出现时:由于毒脚本需要声明的参数或函数 事先 被 const 声明,在控制台报错:
Uncaught SyntaxError: Identifier '【】' has already been declared (at ……)

那么就算脚本被请求并执行了,也会因为 const 的规定占用了它的关键函数而无法实现跳转
(我在控制台上执行成功,但不清楚这个怎么掐时间会比较准。)
(我发现这个 仿冒的 jQuery 需要一定的时间解密,所以就算我 先插入了恶意代码,只要我手速够块(0.6s 内),都可以破坏环境)

22:12 补充:


苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 00:11:35|显示全部楼层 IP:浙江省
Sakarwei 发表于 2024-7-25 22:00
我似乎又找到一个好方法:事先破坏脚本执行环境,阻止脚本传送用户。

原理:利用 JS 的 const 。const 规 ...

。。。你怎么做到每次让这个文件都有的?这个不会是浏览器插件加的吧
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 00:48:08|显示全部楼层 IP:广东省
本帖最后由 Sakarwei 于 2024-7-26 01:16 编辑

苦力怕纸 发表于 2024-7-26 00:11
。。。你怎么做到每次让这个文件都有的?这个不会是浏览器插件加的吧


测试这些代码、找出可能可行方案时使用的浏览器,是没有插件的。

论坛时不时出现看的是论坛给不给那段请求代码,恶意文件一直都在上面的恶意服务器上,每次访问都可以访问到
前期是在论坛大量的刷新(趁着凌晨少人的时候,避免施压服务器),后期我的思路是,是论坛移动端页面最末尾的那一串请求恶意文件的 script 元素导致这么多问题的发生,那么当页面不给我的时候,我自己补上就好了(利用:我的折叠内容中截图就有插入 js 的代码,第一个红框标示。)
——————
1:15更新:以及我好像发现这个回复贴的引用样式有问题?
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 02:40:25 来自手机|显示全部楼层 IP:江苏省
本帖最后由 梦游的123444 于 2024-7-26 02:48 编辑

Sakarwei 发表于 2024-7-26 00:48
苦力怕纸 发表于 2024-7-26 00:11
。。。你怎么做到每次让这个文件都有的?这个不会是浏览器插件加的吧

[/quote]
你可能是什么代码使quote代码失效或你不小心破坏了回复的quote
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 14:37:06|显示全部楼层 IP:广西
Sakarwei 发表于 2024-7-25 00:37
部分赞同,关键就是谁让它来的。从请求细节看,我个人认为,JS 文件来自 恶意站点、请求 JS 文件的上游来 ...

我看了一下

这个https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的ip
是来自funnull的cdn(也就是臭名昭著的方能 该公司进行过许多供应链攻击 具体可以看这篇文章 https://www.54yt.net/435.html

评分

参与人数 1铁粒 +10收起理由
 Saka*** + 10感谢分享

查看全部评分

苦力怕论坛,感谢有您~
回复支持

使用道具举报

本版积分规则

本站
关于我们
联系我们
坛史纲要
官方
哔哩哔哩
技术博客
下载
网易版
安卓版
JAVA
反馈
意见建议
教程中心
更多
捐助本站
QQ群
QQ群

QQ群

访问手机版

访问手机版

手机版|小黑屋|系统状态|klpbbs.com

粤公网安备 44200002445329号 | 由 木韩网络 提供支持 | GMT+8, 2024-11-22 06:44

声明:本站与Mojang以及微软公司没有从属关系

Powered by Discuz! X3.4 粤ICP备2023071842号-3