新闻源网站被劫持到菠菜网站有三个广告专题

　　新闻源网站被劫持到菠菜网站有三个广告专题

　　新闻源网站一般权重较高，收录fast，可以被搜索引擎收录优先，是黑灰产品推广引流的必备，很容易被攻击。被黑后，主要的不良信息内容主要是彩票等DB内容。消息源网站程序无论是自主开发还是开源程序，都有可能被黑。开源程序更容易被黑客入侵。

　　现象描述：

　　新闻源网站home页面广告链接被劫持到*敏*感*词*网站

　　共有三个广告主题，链接形式如下：

　　点击这三个链接会跳转到 spinach网站。只需捕获和分析过程：

　　此时可以发现这个返回页面已经被劫持，加载了第三方js文件/N/js/dt.js，进一步访问该文件：

　　dt.js 进一步加载另一个js，访问/N/js/yz.js

　　发现链接跳转到/?dt，进一步访问这个链接，网站是菠菜链接navigation网站，访问后会随机跳转到第三方DB网站。

　　问题处理：

　　找到url对应的文件位置。即使文件被删除，链接仍然可以访问。可以发现三个链接都是以“sc”为后缀的。

　　检查Nginx配置文件，发现Nginx配置文件VirtualHost.conf被篡改。后缀为“sc”的话题链接通过反向代理匹配到103.233.248.163，网站是菠菜链接导航网站。

　　删除恶意代理后，主题链接访问恢复。