应急响应 | 扑朔迷离的黑链

更多全球网络安全资讯尽在邑安全事件背景某客户被通报存在黑链页面显示招租广告，而且只有通过百度跳转才会显示下图页面：排查过程1、前期常规排查，第一反应就是去服务器本地寻找黑链页面"/news/article/detail/nwnsaii9.html"，但是主机web目录翻遍了硬是没有找到黑链页面nwnsaii9.html，甚至连相关目录都没有找到。2、于是重新梳理思路从跳转入手，测试直接访问"/news/article/detail/nwnsaii9.html"，发现自动跳转访问“www.8y818.com”，于是点击查看源代码发现实际是nginx 404页面中存在恶意跳转的js代码。3、主动访问异常Js页面，发现又是一个跳转访问，跳转其中一个逻辑是判断来源页面若是包含“baidu.com”就会跳转指定页面（黑链），若不是就回显404.html。这就正好能解释为啥只有从百度跳转才会看到黑链页面了。瞬间信心大增，说明已经逼近真相了！4、访 ………………………………