如:
网址:https://www.网址.com/edu 在 pc 端正常访问,但在移动端就会被跳转到其他网站上。
如修改路由为/edu123也会跳转,修改为/ed则不会。初步判断关键字为edu。
进行排查:
[ol]
网站都是使用了https,排除
通过查看日志以及转发记录,发现/edu 被转发到了 php-cgi ,排除
在排查时在看见 v2 中有人遇到类似的问题,于是照着大佬的思路排查,结果发现每个站都被添加了一个 pass.php 文件。
根据代码内容搜索,是用Godzilla生成的木马脚本。对网络安全这个块不太懂,有没有大佬知道怎么切底清除这个脚本带来的影响?
[/ol]
初步处理尝试:
清除每个站点下的 pass.php 文件,以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后,重启 php 服务再次访问。
结果还是一样会跳转到其他网站。。。
继续排查:
查看 php 慢日志时,发现请求网页时有执行file_get_contents函数,于是循着文件路径查看,找到了罪魁祸首,项目composer下的autoload_real.php被植入了一行代码,删除掉后网址恢复正常。
疑问请求:
请问这是利用了 composer 的漏洞吗? composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的?因为我看到这些文件都是 www 宝塔用户上传的。
