ekingfan 发表于 2018-5-29 22:39:57

LNMP1.5 VPS 被劫持怎么办?自动弹出广告啊!

我一直用LNMP1.5 (好几个VPS)都没有问题, 其中一个。 我绑定域名http://www.blender-part.com/ 后一个星期 就自动每次登陆就会弹出人有家的广告, 这个广告是跟据IP 弹出的。 我是中国IP 就是弹中国广告, 美国IP 就弹美国广告。我记录了一个,他是经过这些网址跳转的 http://bestadbid.com/afu.php?zoneid=1365143&var=1462665

https://recommendedlab.com/?rzi=1462665&rsz=1462665&rid=

http://cov7d.redirectvoluum.com/redirect?target=BASE64aHR0cDovL3RyYWNrLmhhYXRtLmNvbS9hZmZfYz9vZmZlcl9pZD01MDA4JmFmZl9pZD0zNzkxMCZhZmZfc3ViPXdSRk85TTlDOTFKSTNVOEUxTjJVTzBBUSZhZmZfc3ViMj1kMjMzYTBjOS0zYzc1LTRlMjMtYWJkMy04YjQwMjQ3OGExNTkmYWZmX3N1YjM9MTQ2MjY2NSZzb3VyY2U9UFJMQURTLVVL&ts=1527604293592&hash=EnVJ-Utdz7o5ouhg0zTaufB0ClwKWlt5KXXg_J2EBrY&rm=D

我上网查了一个技术, 我ping域名还是我原来的IP ,证明域名DNS 没有被劫持,问题很可能出在VPS 自己的系统上? 请版主指明路给我。

再讲一次,我已经重装一次系统 ,我是用wordpress .同一个系统 我在几台VPS 上没有问题。

licess 发表于 2018-5-30 08:31:22

curl -IL http://www.blender-part.com
HTTP/1.1 302 Moved Temporarily
Location: https://www.cpm20.com/watch?key=789a4129e78c00008a47b36e23d65ea7

可能程序上或者配置文件上有302跳转的代码

还有种http劫持

ekingfan 发表于 2018-5-30 12:07:27

啊应该怎么处理啊?我已经重装了 LNMP1.5也是这样。。。。 有没有说明查哪个文件?

我已经取消域名梆定, 我直接输入IP访问 一样出现这样广告。

ekingfan 发表于 2018-5-30 12:19:20

原帖由 ekingfan 于 2018-5-30 12:07 发表 http://bbs.vpser.net/images/common/back.gif
啊应该怎么处理啊?我已经重装了 LNMP1.5也是这样。。。。 有没有说明查哪个文件?

我已经取消域名梆定, 我直接输入IP访问 一样出现这样广告。 ...

这个可能是 wordpress 的范畴,如果是 我就自己上网查了。谢谢

licess 发表于 2018-5-30 13:47:15

挨个查看网站文件是否被篡改

ekingfan 发表于 2018-6-6 11:19:41

原帖由 licess 于 2018-5-30 08:31 发表 http://bbs.vpser.net/images/common/back.gif
curl -IL http://www.blender-part.com
HTTP/1.1 302 Moved Temporarily
Location: https://www.cpm20.com/watch?key=789a4129e78c00008a47b36e23d65ea7

可能程序上或者配置文件上有302跳转的代码

还有种http劫持 ...

我已经重装系统 与重装LNMP 我直接用IP访问WORDPRESS 没有问题。。。自从昨天又绑定域名后。今天又出现 这个广告了。 网上说, 我ping 是直接出我原来的IP,应该是不是http 劫持,

上网查了nginx的301与302跳转详细配置教程请问这个文件 在哪里或者有没有什么贴可以说明查什么文件? 我搜索了好几个关键字都在论坛查到修改及检查的方法。

[ 本帖最后由 ekingfan 于 2018-6-6 11:29 编辑 ]

ekingfan 发表于 2018-6-6 17:57:50

原帖由 licess 于 2018-5-30 13:47 发表 http://bbs.vpser.net/images/common/back.gif
挨个查看网站文件是否被篡改

LNMP相关配置文件位置
Nginx主配置(默认虚拟主机)文件:/usr/local/nginx/conf/nginx.conf
添加的虚拟主机配置文件:/usr/local/nginx/conf/vhost/域名.conf
MySQL配置文件:/etc/my.cnf
PHP配置文件:/usr/local/php/etc/php.ini
php-fpm配置文件:/usr/local/php/etc/php-fpm.conf
PureFtpd配置文件:/usr/local/pureftpd/pure-ftpd.conf 1.3及更高版本:/usr/local/pureftpd/etc/pure-ftpd.conf
PureFtpd MySQL配置文件:/usr/local/pureftpd/pureftpd-mysql.conf
Proftpd配置文件:/usr/local/proftpd/etc/proftpd.conf 1.2及之前版本为/usr/local/proftpd/proftpd.conf
Proftpd 用户配置文件:/usr/local/proftpd/etc/vhost/用户名.conf
Redis 配置文件:/usr/local/redis/etc/redis.conf

这些文件我都查过了。。没有那个跳转的域名。。。 应该是查哪一个文件?

licess 发表于 2018-6-6 20:51:01

回复 7# 的帖子

http劫持先去google了解一下,和你解析到哪个ip没关系

官网论坛上都有301的教程,301、302一般就是rewrite 或return 来实现
如果虚拟主机里设置的301,301你打开对应域名的配置文件就很明显

排查是主要排查网站文件

ekingfan 发表于 2018-6-9 16:26:40

回复军哥, 我的问题已经解决了,

开始一直认为是LNMP 的问题,但已经查过全部文件 没有发现被改成302,再一步查 MYSQL 也没有这个域名跳转,再进一步查WORDPRESS文件 ,我重装之后 再查查就没有了 跳转了, 应该是WORDPRESS文件 被修改了,但也不知道为什么会被黑了, 其它几个网站同一样文件 也没有事。光光这一个网站出事了。

licess 发表于 2018-6-9 20:58:12

回复 9# 的帖子

wordpress中毒一般就是wordpress程序有漏洞或主题有问题或后门之类的
其他站没被修改是因为lnmp的站点都是带防跨目录设置的
页: [1]
查看完整版本: LNMP1.5 VPS 被劫持怎么办?自动弹出广告啊!