最近有位朋友的项目,在运行过程中,发现自己的CTR指标明显的有异常的情况,从而找到我们针对于他们的陪她的情况,做下安全检查,这次检查了下,结果发现还是有不少严重的问题,特别是有比较明显的在 Nginx 这层是有程序在感染到数据的渲染的情况。
前面我们在得出这个结论前,我们是做了几个尝试:
1)手动的清理掉对于的恶意程序代码,从而查看他的数据是否有恢复的情况,通过这块的操作,我们发现,有些时候是没有明显的异常代码出现,也有可能是我们的使用CDN这块的功能,从而把正常的代码同步到CDN中,从而不来源获取最新的数据?这个时候,我们基于URL加版本的方式,不断的去拉取新的源问题情况? 有些时候是正常,有些时候的 JS文件还是随机生成的情况? 特别是最对于 mob 方式的访问后生成?
2)前面我们也怀疑过是否CDN平台做的这块的流量劫持的情况?因为我们针对于前面的操作检验,也只有那几个点可以达到这种情况的实现? 要么就是源服务器上的nginx 和配套 nginx 的一些插件,要么就是CDN层面可以控制?其实还有一层就是DNS这层也应该可以实现,比如在DNS解析这层,给到你错误的地址返回?从而访问错误的内容?通过具体的内容分析,和结合我们平常的安全排查检验,最终是锁定了 宝塔软件这边的,具体的可以参考下面网址: https://www.bunian.cn/4419.html
3)我们最后通过服务器的切换,从而才最终解决了这个问题,并且对新的服务器做了更多安全建议动作?
比如:
1)在CDN上隐藏掉源IP内容?
2)放弃使用宝塔软件平台,如果一定要使用,会需要通过IP限制等动作,限制他的访问于使用?另外也限制了宝塔软件的出入口的限制,也是避免宝塔的域名被劫持后的,数据偷换?
3)定期的安全检查升级,从而可以更好的保证系统的安全内容。特别是对于上传到服务器的代码内容。