web應急：新聞源網站劫持

新聞源網站通常權重較高，收錄快，可以被搜索引擎優先收錄，是黑灰產推廣引流的必爭之地，很容易成爲被攻擊的對象。被黑之後主要掛的不良信息內容主要是博彩六合彩等賭博類內容，新聞源網站程序不管是自主開發的仍是開源程序，都有被黑的可能，開源程序更容易被黑。

現象描述：

某新聞源網站首頁廣告連接被劫持到菠菜網站

有三個廣告專題，連接形式以下：

​ http://www.xxx.cn/zhuanti/yyysc/index.shtml

​ http://www.xxx.cn/zhuanti/wwwsc/index.shtml

​ http://www.xxx.cn/zhuanti/zzzsc/index.shtml

點擊這三條連接會跳轉到博彩網站。簡單抓包分析一下過程：

能夠發現此時這個返回頁面已被劫持，而且加載了第三方js文件，http://xn--dpqw2zokj.com/N/js/dt.js，進一步訪問該文件：

dt.js進一步加載了另外一條js，訪問http://xn--dpqw2zokj.com/N/js/yz.js

咱們發現連接跳轉到https://lemcoo.com/?dt，進一步訪問這個連接，網站爲博彩連接導航網站，訪問後會隨機跳轉到第三方賭博網站。

問題處理：

找到url對應的文件位置，即便文件被刪除，連接依然能夠訪問，能夠發現三條連接都是以「sc」後綴。

對Nginx配置文件進行排查，發現Nginx配置文件VirtualHost.conf被篡改，經過反向代理匹配以「sc」後綴的專題連接，劫持到http://103.233.248.163，該網站爲博彩連接導航網站。

刪除惡意代理後，專題連接訪問恢復。