Linux 服务器被劫持

資深大佬 : chenduoduo 3

前几天发现网站打开会被跳转到另外的网站，就是一会儿正常，过一会儿又跳了，应该设有时间限制。

最开始以为是自己的浏览器(firefox)被劫持了；

然后用其他浏览器发现仍然跳转，以为是自己的网络运营商这边的问题；

然后又让不同地方的十多个朋友测试，也会跳转，才发现事情严重，猜测应该是服务器上出了问题。

会跳转到这个，图片链接： http://tva1.sinaimg.cn/large/4b2958c9gy1gki28rq3xjj20tc0fkdhc.jpg

服务器：Liunx Centos 7.7(64 位)

装有 apache 、php 、mysql

在服务器上面搜索了关键词“haomil”没找到原因，因为连接很慢，还经常断掉，所以似乎没有找到相关记录，只在日志中看到有这个。

请问各位老师有没有什么方式方法可以提供，去除这个隐患，谢谢。

大佬有話說 (16)

資深大佬 : hellos

可以用 Burp Suite 看看网页跳转过程。
还有，跳转的网址未必是硬编码在源码中的。

主資深大佬 : chenduoduo

@hellos 应该不在网页代码中，因为服务器上的所有网站都会跳

資深大佬 : opengps

这种跳转往往是多级跳，搜最终关键字未必管用。
你先试试将源代码备份，然后重新发布一下，看看是不是网页源文件注入了脚本，确认是的话，在用文本比对工具去分析差异

資深大佬 : ThirdFlame

先通过跟踪 js 看看到底是哪里被插入了代码。
另外试试 https 会不会跳，是不是某个第三方的 js 库被网络劫持了。

資深大佬 : hcymk2

www.zoomeye.org/searchResult?q=lc.haomil.com
www.shodan.io/search?query=lc.haomil.com

資深大佬 : zlowly

如果所有 php 网页都出现这个情况（可以试试看 html 静态页面是不是没影响），也有可能 php 被入侵。
先看看网页源码的目录里，有没多了些.user.ini ，.htaccess 。通过看 phpinfo 或者直接查看 php.ini 内容，看看有没多出 auto_prepend_file 或者 auto_append_file 了。如果真的是这些地方有被动过，那么可能网站存在上传漏洞。

資深大佬 : motecshine

生蚝视频看了大补么

主資深大佬 : chenduoduo

@zlowly

phpinfo 里面 auto_prepend_file 、auto_append_file 值都是 no value
对了，用了 BT 面板，会自动生成.user.ini 文件，但是里面没有有问题的代码。
而伪静态.htaccess 文件也是正常的。

主資深大佬 : chenduoduo

@motecshine

不知道呀，那些都是灰产吧

主資深大佬 : chenduoduo

@ThirdFlame

第三方的就只用了：
cdn.bootcss.com/font-awesome/4.7.0/css/font-awesome.min.css
以及百度统计和百度推送，应该是不可能有问题的

主資深大佬 : chenduoduo

@opengps 谢谢。换到了另外的服务器就没有问题，代码应该没有问题

主資深大佬 : chenduoduo

@hcymk2

这两个好牛的样子，不懂就问一下，这两站站是什么作用的，好高大上。

有一次跳没跳得过去，的确是看到用的 http-equiv=”refresh”

資深大佬 : opengps

@chenduoduo 代码没问题的话，查查主机里是不是有某些进程。
我客户当初中过一个广告病毒，我查了下是个异常的进程，那个进程网上一搜很容易了解到是个基于主机内部的广告，由于从源头出发，所以原站即使 https 都照样被插入广告脚本。当时没有写博客习惯，所以现在也就没留下当时的关键字。

資深大佬 : newee

https://www.oschina.net/news/110108/phpstudy-news?p=3

資深大佬 : liuxu

以前追查代码，发现在 smarty 内核里，加密过

資深大佬 : zgcwkj

有没有可能是，服务商搞鬼？