访问论坛有几率跳转至非法网站

和***

GomaoCraft 发表于 2024-7-21 00:19
https://mcapks.net/tools/vs-check/
访问以上网站也有概率进入相同的堵薄网站

并不是 只是网页中引入了一个外来的带毒的jquery库

具体原因未知 我目前尚未复现跳转非法网站的问题

Saka***

和乐果 发表于 2024-7-26 14:57
并不是 只是网页中引入了一个外来的带毒的jquery库

具体原因未知 我目前尚未复现跳转非法网站的问题

这个要拼运气。

不良站点的跳转机制：

• 论坛服务器内的 PHP（含模板HTM内的PHP） 决定是否向用户表示恶意代码需求；（选否则筛除）（这是我的猜测，因为我看不到 PHP 原文件。）
• 来自 jsdelivr.vip 的 仿冒 jQuery 决定是否从 union.macoms.la 获取 checkcache.js（选否则筛除）
• union.macoms.la 决定是否要求 checkcache.js 给出“usercache=true”（或类似）回应要求 仿冒 jQuery 进行跳转（回应空文件即选否，则筛除）
• 以上全发生时，中选，跳转到恶意站点。
  

这是我在 https://klpbbs.com/thread-142380-1-3.html 发表的内容。今天经过我的再度分析和尝试，我得到以下信息：

一、我发现一个名字诡异的 Cookie。其名为“maccms_flag”。

当 仿冒jquery 初次加载 union.macoms.la 的 checkcache.js 时，这个 JS 文件会写入内容到名为“maccms_flag”和“SESSID”中。后续我发现，这个 “JS”还会请求“maccms_flag”的Cookie。以及，来源详情标头上，我还留意到那么一行字：x-powered-by: PHP/8.0.30 结合上述信息，我猜测：这个所谓的 JS 文件，其实是恶意站点 PHP 执行并选择输出的结果。 当站点不想你进入的时候，就返回空内容，此时 仿冒 jquery 就会报错“usercache”未定义； 当站点要求你进入的时候，就返回“usercache=true”。 不论哪种情况，union.macoms.la 都会写入 Cookie 标记访问者，若访问者带上 maccms_flag 的标记，那么就固定返回空内容，就不跳转； （补充：我好像瞥到一眼，要求进入的时候，返回的文件类型好像是 text/html。但具体细节我不是很记得）

二、部分情况的触发频率
经过我的大量刷新测试，
论坛页面给出请求带毒代码的 script 元素频率约为：每 30 回请求一次；
仿冒 Jquery 代码请求 checkcache.js 的频率约为：每 3~4 回一次；
checkcache.js 要求跳转的频率目前不明；40 回访问中仅触发 1 次（每次仿冒 Jquery 请求 checkcache.js 后我都清除了浏览器 Cookie）

—————— 15:44 更新：
在控制台上 设定 usercache=true （模仿 checkcache.js 某些时候的返回）然后反复加载 仿冒jquery 的 JS 文件可以提高跳转到不良网站的机率，但不能确保一定跳转。

我担心 请求过 checkcache.js 后留下的 18小时有效期的 Cookie 会导致 checkcache.js 固定回应空白，所以我发现浏览器请求了 checkcache.js 后都会 清除浏览器 Cookie 。


—————— 15:47 更新：
这个跳转似乎是针对手机的，之前有人说过电脑端从未发生，我也未曾在 电脑端的页面中 发现被写入恶意代码。然后 仿冒jquery 的 JS 文件中似乎出现了 ismobile 的字样（但我不了解其具体细节，因为这个 JS 加密了，我的解密能力又非常有限。）

和***

Sakarwei 发表于 2024-7-26 15:36
这个要拼运气。

话说有没有可能不是网站源码被投毒 而是Nginx被投毒
之前宝塔有出现过漏洞导致Nginx被投毒跳转b c网站

和***

我从别的论坛找到了https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的解密文件
可能是木韩CDN的问题了 他用的goedge CDN系统被开发者投毒了
@Sakarwei

goedge投毒经过
https://bbs.naixi.net/thread-110-1-1.html
很大概率就是木韩那边的问题了 与论坛无关

和***

Sakarwei 发表于 2024-7-26 15:36
这个要拼运气。

能否提供一下出现jsdelivr.vip时浏览器 请求的klpbbs.com的ip
可能是某个cdn节点出现了问题 木韩的CDN节点太多排查不来

Saka***

和乐果 发表于 2024-7-26 17:02
能否提供一下出现jsdelivr.vip时浏览器 请求的klpbbs.com的ip
可能是某个cdn节点出现了问题 木韩的CDN节 ...

https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
远程地址：52.139.174.126:443
——————
https://klpbbs.com/forum.php?mod=guide&view=hot&mobile=2
远程地址：111.173.104.187:443

2024年7月26日 17:07 发生，Cy：DevTool 电脑端浏览器 Edge (移动端调试模式)
目前我在广东访问，之前我在重庆时访问也有过出现过该文件。

和***

Sakarwei 发表于 2024-7-26 17:09
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
远程地址：52.139.174.126:443
——————

测试了一下这个ip

刷新了几次 的确能够复现问题 已上报木韩那边了

Saka***

扩大范围探索发现，木韩官网（muhan.co）都已经沦陷了……
@muhan

小永***

和乐果 发表于 2024-7-26 14:37
我看了一下

这个https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的ip

那 https://cdn.jsdelivr.net 这个域名有没有事呢，自己站用过这个服务的js和它的github反代服务，如果有事抓紧换了
(前半部分都一样，就域名尾缀不同)

Saka***

小永高呐 发表于 2024-7-27 10:01
那 https://cdn.jsdelivr.net 这个域名有没有事呢，自己站用过这个服务的js和它的github反代服务，如果有 ...

暂时应该没事。
.net 是正版 jsdelivr ，这里的 .vip 是仿冒的，两个不是同个站点。


不过也要提防 正版 jsdelivr 遭到上游供应链攻击的这种情况