访问论坛有几率跳转至非法网站

梦游的*** · 发表于前天 00:15

Sakarwei 发表于 2024-7-24 22:46
发现重要线索！

今日晚上22:34前后，我使用电脑+DevTool访问论坛，记录信息，然后发现一个异常的 JS 文件 ...

实际上问题是，你发现的是js文件，而js文件的来源可能是服务器，也可能是cdn。
不排除服务器出了问题，假设木韩的cdn api出问题，那么在站点源服务器是找不到对应文件的。况且在minebbs等站点也发生了此事件，而两个论坛用的模版不同。因此你所发现的js文件来源可能为cdn

Saka*** · 发表于前天 00:37

本帖最后由 Sakarwei 于 2024-7-25 01:21 编辑

梦游的123444 发表于 2024-7-25 00:15
实际上问题是，你发现的是js文件，而js文件的来源可能是服务器，也可能是cdn。
不排除服务器出了问题，假 ...

部分赞同，关键就是谁让它来的。从请求细节看，我个人认为，JS 文件来自恶意站点、请求 JS 文件的上游来自本站或 CDN 的这种情况可能性最大，因此我的想法是：找出是谁向这个恶意站点发起请求、要求使用这个 JS 的内鬼。

只是，我个人认为，更可能来自在服务器里面的插件或者 PHP 文件里面，特别是如果这段时间本站点更新了插件的情况下。
（我突然联想到这段时间服务器宕机几次，会不会有一次就是入侵呢？）
但我也不排除 CDN 投毒的可能，因为我（后续）了解到已经有部分 CDN 被投毒了，不排除木韩是其中一个受害者。
还有的可能，就是插件的发布源也被投毒，然后本站或 CDN 更新时使用了带毒插件，导致问题发生。

0:39 更新：
我还查到 jQuery 部分插件（比如本站用到的 lazyload）似乎（不确定）与 Polyfill 有关系，因此我还是怀疑有可能和 CDN 无关。（lazyload 文件所在域名就是 klpbbs.com）（但是，本站的 lazyload 是否和 Polyfill 有关的那个我还不好说，看起来又没有）

jQuery 的用户就很多了，minebbs 说不定也用了，所以就这个我还是不好说是服务器的问题还是 CDN 的问题。

0:50 更新：（不用看了）
发现 minebbs 存在部分代码涉及 Polyfill，但不知道关系；本站还没有，因此我还是不确定。或许两边的病根不同也说不定。
总之依旧无法排除服务器内文件的问题，也无法排除 CDN 的问题。

1:18 更新：
建议：检查（移动端） forum.php 及其页脚（footer* 或 common 文件夹内）、template/【主题】/touch/ 内的内容！
理由见附件。
直接写入到 PHP 的，我还没见过 CDN 可以这样操作。

苦力*** · 发表于前天 04:14

Sakarwei 发表于 2024-7-25 00:37
部分赞同，关键就是谁让它来的。从请求细节看，我个人认为，JS 文件来自恶意站点、请求 JS 文件的上游来 ...

这个貌似是js注入的，他也是随机出现的

Saka*** · 发表于前天 05:47

本帖最后由 Sakarwei 于 2024-7-25 05:54 编辑

苦力怕纸发表于 2024-7-25 04:14
这个貌似是js注入的，他也是随机出现的

本文内容的测试环境为 Linux(Ubuntu Server)
执行指令时不要乱加尖括号“>”和“<”，否则可能损坏文件甚至系统！

我的排查方案

如果排查无结果，那么尝试：

字符串替换，阻止这个罪恶的域名（jsdelivr.vip）出现在页面里面。
Nginx 是这样子的：

好像是这样子吧……

有没有可能是有内鬼程序在里面不断读写修改页面/模板文件呢？

如果传递过程没有问题，只是这串内容在文件里面随机出现，那么……
记录文件操作（读写等）
inotifywait ←Linux 上有这么一个工具（非自带，怎么安装得看发行版和包管理器）

检查定时任务计划/Crontab

<blockquote>ls /etc/cron.*

复制代码

之类的，
~~（DZ我又求你别又像 https://klpbbs.com/thread-139627-1-2.html 说的那样吞这段代码，刚刚你已经吞过两回了）~~我不干了。
↓↓↓

ls /etc/cron.*
cat /etc/cron.*/*
cat /etc/crontab

苦力*** · 发表于前天 20:43

Sakarwei 发表于 2024-7-25 05:47
本文内容的测试环境为 Linux(Ubuntu Server)
执行指令时不要乱加尖括号“>”和“ ...

不是程序本体出的问题，这个内容是被拼接上去的，程序文件里没有这个引用的

Saka*** · 发表于前天 22:00

本帖最后由 Sakarwei 于 2024-7-25 22:14 编辑

苦力怕纸发表于 2024-7-25 20:43
不是程序本体出的问题，这个内容是被拼接上去的，程序文件里没有这个引用的
...

我似乎又找到一个好方法：事先破坏脚本执行环境，阻止脚本传送用户。

原理：利用 JS 的 const 。const 规定的内容可以防止被非 const 者规定覆盖。

实操：
在通用头部模板添加上：（要通用，不然有的页面依旧有跳转风险。）（没留尖括号 script 标签，因为我要避免它屏蔽）

const loadJS="";
const _0x2d7370="";
const _0x403866="";
const _0x3b0ea1="";

复制代码

关键点：在带毒脚本运行之前事先占用该脚本需要的函数或参数。
（我选择了这几个，因为分析了一下代码之后我觉得这些比较关键。）

理想结果：在毒脚本不出现时风平浪静，毒脚本出现时：由于毒脚本需要声明的参数或函数事先被 const 声明，在控制台报错：

Uncaught SyntaxError: Identifier '【】' has already been declared (at ……)

那么就算脚本被请求并执行了，也会因为 const 的规定占用了它的关键函数而无法实现跳转
（我在控制台上执行成功，但不清楚这个怎么掐时间会比较准。）
（我发现这个仿冒的 jQuery 需要一定的时间解密，所以就算我先插入了恶意代码，只要我手速够块（0.6s 内），都可以破坏环境）

22:12 补充：

苦力*** · 发表于昨天 00:11

Sakarwei 发表于 2024-7-25 22:00
我似乎又找到一个好方法：事先破坏脚本执行环境，阻止脚本传送用户。

原理：利用 JS 的 const 。const 规 ...

。。。你怎么做到每次让这个文件都有的？这个不会是浏览器插件加的吧

Saka*** · 发表于昨天 00:48

本帖最后由 Sakarwei 于 2024-7-26 01:16 编辑

苦力怕纸发表于 2024-7-26 00:11
。。。你怎么做到每次让这个文件都有的？这个不会是浏览器插件加的吧

测试这些代码、找出可能可行方案时使用的浏览器，是没有插件的。

论坛时不时出现看的是论坛给不给那段请求代码，恶意文件一直都在上面的恶意服务器上，每次访问都可以访问到；
前期是在论坛大量的刷新（趁着凌晨少人的时候，避免施压服务器），后期我的思路是，是论坛移动端页面最末尾的那一串请求恶意文件的 script 元素导致这么多问题的发生，那么当页面不给我的时候，我自己补上就好了（利用：我的折叠内容中截图就有插入 js 的代码，第一个红框标示。）
——————
1:15更新：以及我好像发现这个回复贴的引用样式有问题？

梦游的*** · 发表于昨天 02:40

本帖最后由梦游的123444 于 2024-7-26 02:48 编辑

Sakarwei 发表于 2024-7-26 00:48
苦力怕纸发表于 2024-7-26 00:11
。。。你怎么做到每次让这个文件都有的？这个不会是浏览器插件加的吧

[/quote]
你可能是什么代码使quote代码失效或你不小心破坏了回复的quote

和*** · 发表于昨天 14:37

Sakarwei 发表于 2024-7-25 00:37
部分赞同，关键就是谁让它来的。从请求细节看，我个人认为，JS 文件来自恶意站点、请求 JS 文件的上游来 ...

我看了一下

这个https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的ip
是来自funnull的cdn（也就是臭名昭著的方能该公司进行过许多供应链攻击具体可以看这篇文章 https://www.54yt.net/435.html）

[待解决] 访问论坛有几率跳转至非法网站

评分

评分

评分

QQ群

访问手机版