VPS侦探论坛

 找回密码
 注册
搜索
热搜: pathinfo
查看: 986|回复: 9

LNMP1.5 VPS 被劫持怎么办?自动弹出广告啊!

[复制链接]
发表于 2018-5-29 22:39:57 | 显示全部楼层 |阅读模式


我一直用LNMP1.5 (好几个VPS)都没有问题, 其中一个。 我绑定域名http://www.blender-part.com/ 后一个星期 就自动每次登陆就会弹出人有家的广告, 这个广告是跟据IP 弹出的。 我是中国IP 就是弹中国广告, 美国IP 就弹美国广告。我记录了一个,他是经过这些网址跳转的 http://bestadbid.com/afu.php?zoneid=1365143&var=1462665

https://recommendedlab.com/?rzi=1462665&rsz=1462665&rid=

http://cov7d.redirectvoluum.com/redirect?target=BASE64aHR0cDovL3RyYWNrLmhhYXRtLmNvbS9hZmZfYz9vZmZlcl9pZD01MDA4JmFmZl9pZD0zNzkxMCZhZmZfc3ViPXdSRk85TTlDOTFKSTNVOEUxTjJVTzBBUSZhZmZfc3ViMj1kMjMzYTBjOS0zYzc1LTRlMjMtYWJkMy04YjQwMjQ3OGExNTkmYWZmX3N1YjM9MTQ2MjY2NSZzb3VyY2U9UFJMQURTLVVL&ts=1527604293592&hash=EnVJ-Utdz7o5ouhg0zTaufB0ClwKWlt5KXXg_J2EBrY&rm=D

我上网查了一个技术, 我ping  域名还是我原来的IP ,证明域名DNS 没有被劫持,问题很可能出在VPS 自己的系统上? 请版主指明路给我。

再讲一次,我已经重装一次系统 ,我是用wordpress .同一个系统 我在几台VPS 上没有问题。

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

发表于 2018-5-30 08:31:22 | 显示全部楼层

curl -IL http://www.blender-part.com
HTTP/1.1 302 Moved Temporarily
Location: https://www.cpm20.com/watch?key=789a4129e78c00008a47b36e23d65ea7

可能程序上或者配置文件上有302跳转的代码

还有种http劫持
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org/
 楼主| 发表于 2018-5-30 12:07:27 | 显示全部楼层



啊应该怎么处理啊?我已经重装了 LNMP1.5也是这样。。。。 有没有说明查哪个文件?

我已经取消域名梆定, 我直接输入IP访问 一样出现这样广告。
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2018-5-30 12:19:20 | 显示全部楼层

原帖由 ekingfan 于 2018-5-30 12:07 发表
啊应该怎么处理啊?我已经重装了 LNMP1.5也是这样。。。。 有没有说明查哪个文件?

我已经取消域名梆定, 我直接输入IP访问 一样出现这样广告。 ...


这个可能是 wordpress 的范畴,  如果是 我就自己上网查了。谢谢
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2018-5-30 13:47:15 | 显示全部楼层


挨个查看网站文件是否被篡改
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org/
 楼主| 发表于 2018-6-6 11:19:41 | 显示全部楼层


原帖由 licess 于 2018-5-30 08:31 发表
curl -IL http://www.blender-part.com
HTTP/1.1 302 Moved Temporarily
Location: https://www.cpm20.com/watch?key=789a4129e78c00008a47b36e23d65ea7

可能程序上或者配置文件上有302跳转的代码

还有种http劫持 ...


我已经重装系统 与重装LNMP 我直接用IP访问WORDPRESS 没有问题。。。自从昨天又绑定域名后。今天又出现 这个广告了。 网上说, 我ping 是直接出我原来的IP,应该是不是http 劫持,

上网查了  nginx的301与302跳转详细配置教程  请问这个文件 在哪里  或者有没有什么贴可以说明查什么文件? 我搜索了好几个关键字都在论坛查到修改及检查的方法。

[ 本帖最后由 ekingfan 于 2018-6-6 11:29 编辑 ]

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

 楼主| 发表于 2018-6-6 17:57:50 | 显示全部楼层



原帖由 licess 于 2018-5-30 13:47 发表
挨个查看网站文件是否被篡改


LNMP相关配置文件位置
Nginx主配置(默认虚拟主机)文件:/usr/local/nginx/conf/nginx.conf
添加的虚拟主机配置文件:/usr/local/nginx/conf/vhost/域名.conf
MySQL配置文件:/etc/my.cnf
PHP配置文件:/usr/local/php/etc/php.ini
php-fpm配置文件:/usr/local/php/etc/php-fpm.conf
PureFtpd配置文件:/usr/local/pureftpd/pure-ftpd.conf 1.3及更高版本:/usr/local/pureftpd/etc/pure-ftpd.conf
PureFtpd MySQL配置文件:/usr/local/pureftpd/pureftpd-mysql.conf
Proftpd配置文件:/usr/local/proftpd/etc/proftpd.conf 1.2及之前版本为/usr/local/proftpd/proftpd.conf
Proftpd 用户配置文件:/usr/local/proftpd/etc/vhost/用户名.conf
Redis 配置文件:/usr/local/redis/etc/redis.conf

这些文件我都查过了。。没有那个跳转的域名。。。 应该是查哪一个文件?
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2018-6-6 20:51:01 | 显示全部楼层

回复 7# 的帖子




http劫持先去google了解一下,和你解析到哪个ip没关系

官网论坛上都有301的教程,301、302一般就是rewrite 或return 来实现
如果虚拟主机里设置的301,301你打开对应域名的配置文件就很明显

排查是主要排查网站文件
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2018-6-9 16:26:40 | 显示全部楼层



回复军哥, 我的问题已经解决了,

开始一直认为是LNMP 的问题,但已经查过全部文件 没有发现被改成302,再一步查 MYSQL 也没有这个域名跳转,再进一步查WORDPRESS文件 ,我重装之后 再查查就没有了 跳转了, 应该是WORDPRESS文件 被修改了,但也不知道为什么会被黑了, 其它几个网站同一样文件 也没有事。光光这一个网站出事了。
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org/
发表于 2018-6-9 20:58:12 | 显示全部楼层

回复 9# 的帖子


wordpress中毒一般就是wordpress程序有漏洞或主题有问题或后门之类的
其他站没被修改是因为lnmp的站点都是带防跨目录设置的

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2019-5-23 06:17 , Processed in 0.047264 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表