开启辅助访问     
收藏本站

站内搜索

搜索

Minecraft(我的世界)苦力怕论坛

 发表于 2024-7-26 14:57:06|显示全部楼层 IP:广西
GomaoCraft 发表于 2024-7-21 00:19
https://mcapks.net/tools/vs-check/
访问以上网站也有概率进入相同的堵薄网站

并不是 只是网页中引入了一个外来的带毒的jquery库

具体原因未知 我目前尚未复现跳转非法网站的问题
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 15:36:27|显示全部楼层 IP:广东省
本帖最后由 Sakarwei 于 2024-7-26 15:49 编辑
和乐果 发表于 2024-7-26 14:57
并不是 只是网页中引入了一个外来的带毒的jquery库

具体原因未知 我目前尚未复现跳转非法网站的问题

这个要拼运气。

不良站点的跳转机制:

  • 论坛服务器内的 PHP(含模板HTM内的PHP) 决定是否向用户表示恶意代码需求;(选否则筛除)(这是我的猜测,因为我看不到 PHP 原文件。)
  • 来自 jsdelivr.vip 的 仿冒 jQuery 决定是否从 union.macoms.la 获取 checkcache.js(选否则筛除)
  • union.macoms.la 决定是否要求 checkcache.js 给出“usercache=true”(或类似)回应要求 仿冒 jQuery 进行跳转(回应空文件即选否,则筛除)
  • 以上全发生时,中选,跳转到恶意站点。

这是我在 https://klpbbs.com/thread-142380-1-3.html 发表的内容。今天经过我的再度分析和尝试,我得到以下信息:

一、我发现一个名字诡异的 Cookie。其名为“maccms_flag”。


二、部分情况的触发频率
经过我的大量刷新测试,
论坛页面给出请求带毒代码的 script 元素频率约为:每 30 回请求一次;
仿冒 Jquery 代码请求 checkcache.js 的频率约为:每 3~4 回一次;
checkcache.js 要求跳转的频率目前不明;40 回访问中仅触发 1 次(每次仿冒 Jquery 请求 checkcache.js 后我都清除了浏览器 Cookie

—————— 15:44 更新:
在控制台上 设定 usercache=true (模仿 checkcache.js 某些时候的返回)然后反复加载 仿冒jquery 的 JS 文件可以提高跳转到不良网站的机率,但不能确保一定跳转。

我担心 请求过 checkcache.js 后留下的 18小时有效期的 Cookie 会导致 checkcache.js 固定回应空白,所以我发现浏览器请求了 checkcache.js 后都会 清除浏览器 Cookie


—————— 15:47 更新:
这个跳转似乎是针对手机的,之前有人说过电脑端从未发生,我也未曾在 电脑端的页面中 发现被写入恶意代码。然后 仿冒jquery 的 JS 文件中似乎出现了 ismobile 的字样(但我不了解其具体细节,因为这个 JS 加密了,我的解密能力又非常有限。)
苦力怕论坛,感谢有您~
 发表于 2024-7-26 16:23:46|显示全部楼层 IP:广西

话说有没有可能不是网站源码被投毒 而是Nginx被投毒
之前宝塔有出现过漏洞导致Nginx被投毒跳转b c网站
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 16:29:46|显示全部楼层 IP:广西
本帖最后由 和乐果 于 2024-7-26 16:41 编辑

我从别的论坛找到了https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的解密文件
可能是木韩CDN的问题了 他用的goedge CDN系统被开发者投毒了
@Sakarwei

goedge投毒经过
https://bbs.naixi.net/thread-110-1-1.html
很大概率就是木韩那边的问题了 与论坛无关


mod.js

36.13 KB, 下载次数: 73

评分

参与人数 1铁粒 +20收起理由
 Saka*** + 20nginx和CDN系统投毒都有可能!

查看全部评分

苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 17:02:52|显示全部楼层 IP:广西

能否提供一下出现jsdelivr.vip时浏览器 请求的klpbbs.com的ip
可能是某个cdn节点出现了问题 木韩的CDN节点太多排查不来
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 17:09:16|显示全部楼层 IP:广东省
和乐果 发表于 2024-7-26 17:02
能否提供一下出现jsdelivr.vip时浏览器 请求的klpbbs.com的ip
可能是某个cdn节点出现了问题 木韩的CDN节 ...

https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
远程地址:52.139.174.126:443
——————
https://klpbbs.com/forum.php?mod=guide&view=hot&mobile=2
远程地址:111.173.104.187:443

2024年7月26日 17:07 发生,Cy:DevTool 电脑端浏览器 Edge (移动端调试模式)
目前我在广东访问,之前我在重庆时访问也有过出现过该文件。

苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-26 17:53:59|显示全部楼层 IP:广西
本帖最后由 和乐果 于 2024-7-26 18:02 编辑
Sakarwei 发表于 2024-7-26 17:09
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
远程地址:52.139.174.126:443
——————

测试了一下这个ip

刷新了几次 的确能够复现问题 已上报木韩那边了
d577fb579e9bf3d9dc135854dd943767.png
苦力怕论坛,感谢有您~
 发表于 2024-7-26 23:39:25|显示全部楼层 IP:广东省
扩大范围探索发现,木韩官网(muhan.co)都已经沦陷了……
@muhan

截图_选择区域_20240726233333.png
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-27 10:01:01 来自手机|显示全部楼层 IP:广西
和乐果 发表于 2024-7-26 14:37
我看了一下

这个https://cdn.jsdelivr.vip/jquery.min-3.7.0.js的ip


https://cdn.jsdelivr.net 这个域名有没有事呢,自己站用过这个服务的js和它的github反代服务,如果有事抓紧换了
(前半部分都一样,就域名尾缀不同)
苦力怕论坛,感谢有您~
回复支持

使用道具举报

 发表于 2024-7-27 13:59:28|显示全部楼层 IP:广东省
小永高呐 发表于 2024-7-27 10:01
那 https://cdn.jsdelivr.net 这个域名有没有事呢,自己站用过这个服务的js和它的github反代服务,如果有 ...


暂时应该没事。
.net 是正版 jsdelivr ,这里的 .vip 是仿冒的,两个不是同个站点


不过也要提防 正版 jsdelivr 遭到上游供应链攻击的这种情况
苦力怕论坛,感谢有您~
回复支持

使用道具举报

本版积分规则

本站
关于我们
联系我们
坛史纲要
官方
哔哩哔哩
技术博客
下载
网易版
安卓版
JAVA
反馈
意见建议
教程中心
更多
捐助本站
QQ群
QQ群

QQ群

访问手机版

访问手机版

手机版|小黑屋|系统状态|klpbbs.com

粤公网安备 44200002445329号 | 由 木韩网络 提供支持 | GMT+8, 2024-11-22 06:38

声明:本站与Mojang以及微软公司没有从属关系

Powered by Discuz! X3.4 粤ICP备2023071842号-3