一分钱机场?性价比机场?io.bt.sy面板?
有个不怎么管的小破站(易支付演示站)
前段时间有人反馈跳**网站,以为是某cdn商家作妖(毕竟各大cdn都有前科),更换完又没管了。。。
今天晚上又有人反馈说跳**网站......
pc不出现,模拟手机访问,果然多了条js,并且经过盲测,只有返回内容为html时才会在页面插入该js
正是这个js引起的
看了半天易支付代码,确定不是程序问题就开始排查服务器环境
因为论坛里历史也出现过类似情况,所以就把重点放到nginx上了
然后发现了
/www/server/panel/vhost/nginx/lua.conf
得益于备份日志的良好习惯也找到了文件来源
格式化下,方便看
时间也能吻合上
操作者IP:159.26.103.85
是直接通过面板账号密码登录上的!
也就是对方通过某种不知名手段获取到了面板密码的
现在开始排除法
服务器为阿里云海外,系统为官方提供的镜像,仅执行了io.bt.sy宝塔面板脚本,并且仅在宝塔面板上安装了网站环境,仅部署了易支付,要多干净有多干净
(看了代码,排除易支付有getshell漏洞,就算易支付出了0day,内核选的比较新也不存在提权漏洞,该lua.conf权限为root 600 排除网站漏洞从而导致的写入)
连ssh连接信息都没设置,直接通过阿里云网页控制台内置的登录功能登录之后切换权限,执行完安装脚本就关了
(ps 并且就算拿到ssh信息也获取不了宝塔明文的登录信息,密码只能改不能解)
服务器的面板信息,安装后本地未保存,仅发在飞机内的个人收藏,并且只在固定的一台电脑登录,排除泄露风险
唯一的疑点就是
21-23日期间多次通过机场网络操作宝塔面板,并且当时sy的面板安装脚本选不选https都是http的访问
25出现159.26.103.85直接登录面板,上传了那个nginx插跳转的配置文件后重载nginx
时间过去太久,忘了用的哪家机场,最后总结下来就是
一分钱机场?性价比机场?io.bt.sy面板?
发现个有趣的事情,通过网络搜索引擎发现,被插入了这个脚本的网站多达几千个
直接搜body里面包含关键词" "的站点
按照该网络空间引擎一页10个展示,388页,足足接近3900个网站被遇到了此类情况,直接查看当时网站的正文,以页面中网站为例
感觉这个量,不是机场流量嗅探能干出来的量。。。。。
起初没有去检索该js域名关键词的时候,感觉百分之七八十的可能就是机场开流量嗅探获取到了账号密码干的(的确有机场这么干)
看了检索结果以后,只能说慎用第三方宝塔面板
有个不怎么管的小破站(易支付演示站)
前段时间有人反馈跳**网站,以为是某cdn商家作妖(毕竟各大cdn都有前科),更换完又没管了。。。
今天晚上又有人反馈说跳**网站......
pc不出现,模拟手机访问,果然多了条js,并且经过盲测,只有返回内容为html时才会在页面插入该js
正是这个js引起的
看了半天易支付代码,确定不是程序问题就开始排查服务器环境
因为论坛里历史也出现过类似情况,所以就把重点放到nginx上了
然后发现了
/www/server/panel/vhost/nginx/lua.conf
得益于备份日志的良好习惯也找到了文件来源
格式化下,方便看
时间也能吻合上
操作者IP:159.26.103.85
是直接通过面板账号密码登录上的!
也就是对方通过某种不知名手段获取到了面板密码的
现在开始排除法
服务器为阿里云海外,系统为官方提供的镜像,仅执行了io.bt.sy宝塔面板脚本,并且仅在宝塔面板上安装了网站环境,仅部署了易支付,要多干净有多干净
(看了代码,排除易支付有getshell漏洞,就算易支付出了0day,内核选的比较新也不存在提权漏洞,该lua.conf权限为root 600 排除网站漏洞从而导致的写入)
连ssh连接信息都没设置,直接通过阿里云网页控制台内置的登录功能登录之后切换权限,执行完安装脚本就关了
(ps 并且就算拿到ssh信息也获取不了宝塔明文的登录信息,密码只能改不能解)
服务器的面板信息,安装后本地未保存,仅发在飞机内的个人收藏,并且只在固定的一台电脑登录,排除泄露风险
唯一的疑点就是
21-23日期间多次通过机场网络操作宝塔面板,并且当时sy的面板安装脚本选不选https都是http的访问
25出现159.26.103.85直接登录面板,上传了那个nginx插跳转的配置文件后重载nginx
时间过去太久,忘了用的哪家机场,最后总结下来就是
一分钱机场?性价比机场?io.bt.sy面板?
发现个有趣的事情,通过网络搜索引擎发现,被插入了这个脚本的网站多达几千个
直接搜body里面包含关键词" "的站点
按照该网络空间引擎一页10个展示,388页,足足接近3900个网站被遇到了此类情况,直接查看当时网站的正文,以页面中网站为例
感觉这个量,不是机场流量嗅探能干出来的量。。。。。
起初没有去检索该js域名关键词的时候,感觉百分之七八十的可能就是机场开流量嗅探获取到了账号密码干的(的确有机场这么干)
看了检索结果以后,只能说慎用第三方宝塔面板