问:近期有些朋友搭建的网站,发现用手机打开,第一次打开会跳转到非法网站,第二次打开就没事了。这是什么原因?是服务器问题还是域名dns问题?
答:经过欧云和宝塔官方确认,这其实主要是你的网站的服务器被黑客入侵了,植入了针对nginx的病毒,也就是传说中的挂马。
解读:(看解决方法,直接滑到最后)
首先声明:你能在本“欧云学习网”搜到这个问题的解决方案,这是欧云对客户的重视,出的解决教程,并非欧云的问题。别家根本不管你,自然没有这样的教程。不管谁家的服务器,只要自己安全措施不做到位,比如ssh密码设置太简单,安装盗版网站源码,防火墙没开,网站源码过于古老,存在框架漏洞,甚至是系统漏洞,都会可能有这样的问题。
这个问题并非域名dns问题,如果是dns问题,会一直跳转非法网站,不会第二次打开就不跳转了。这是挂马病毒,检测到手机打开,且存在cooker记录是不是第一次打开。
为什么第一次打开才跳转,后面就没事?这是可以让很多不懂技术,又不想麻烦的客户也能勉强接受,让挂马病毒能存活更久一点。
这种挂马病毒,一般是一种采用了内核hook技术,把木马全部隐藏了,很不好找到。他对网站文件不造成影响,可以放心迁移网站,不用担心带上病毒,只是破坏你服务器的nginx(网站管理程序),这也是为什么有的朋友卸载了nginx换成了Apache就不会跳转的原因,因为nginx确实问题挺多的。Apache可是世界第一,但是用起来也麻烦不少。
怎么查到病毒的位置?
很简单,这种病毒多为修改内核hook,做成nginx的插件的形式存在的,因此只要切换nginx的版本,病毒就会因为不兼容新的版本导致nginx报错,从而在报错中暴露自己。如图所示:
如上图,黑框就是挂马的文件位置,只要删除它,就能解决大部分问题,但是我们会发现打开这个路径,看不见具体的文件
也不用担心,这是木马既然是木马,人家肯定很牛的,隐藏自己不是基本操作吗?只要删除adm文件夹就行了,但是有个问题,这个adm文件夹的木马文件,删除一次没用,过段时间还会再出现。
深查原因能发现,他会24小时自动缓存一个这种文件,说明这也不是木马的本体。这时候连上ssh就能发现本体在其他文件夹了。
另外,木马既然能进来,肯定是不仅仅一个文件,还有获得了系统账号,当然不是root,不然就会被检测出来,木马通过修改系统的其他账号和root一个级别来控制你的服务器进行病毒植入。
因此我们要
1、设置计划任务定期删除adm缓存文件。
2、删除木马本体。
3、修复木马控制的其他账号并达到了root权限的账号的权限,并修改对应的哈希密钥。
修复教程
1、设置计划任务,定期删除木马adm缓存文件
打开宝塔==》左边计划任务==》添加任务
任务类型:shell脚本
任务名称:跳转挂马缓存定时删除
执行周期:N分钟,10分钟
执行用户:不用选,默认root就行
脚本内容:如下,点击展开
2、定时修复其他系统用户权限
依然是宝塔添加一个计划任务,定时进行这个修复,并进行系统加固操作,本脚本着重解决木马修改、劫持系统账号的问题。
同样可以解决木马引起的,宝塔首页也会显示的“存在后门用户bin”、“存在重复UID:0:root,bin”这2个问题
任务类型:shell脚本
任务名称:挂马病毒定时修复系统用户权限
执行周期:N分钟,10分钟
执行用户:不用选,默认root就行
脚本内容:如下,点击展开
3、最重要
添加计划任务后,记得点一下执行,这样就能直接先运行一下脚本,解决当前的问题了
4、最终建议
1、上面的方法,可以解决当前受到的影响,但对于这种内核hook技术病毒,并不能保证彻底。
2、如果已经多次重装总是这样,可能就是被顶上了,或者你用的网站源码有漏洞,那就这样吧,也没啥事,不用管了,上面的计划任务,能保证你不再受病毒影响。
3、如果业务非常重要,建议备份网站数据后,重装系统,重新搭建更彻底。最好就是买个宝塔的专业版,软件商店里,开启系统加固功能,能最大限度保障你的安全。
评论(0)