目前优书网服务器已经被黑客掌握,页面植入了恶意 JS 脚本。当用户访问其子页面时,会依次调用黑客 JS 脚本来判断是否执行。例如访问链接https://www.yousuu.com/book/1
,会首先通过isMobile.min.js
判断是否是手机用户。如果是则继续执行,否则返回正常页面来隐藏自己行为。如果符合攻击目标,则依次调用link.js
和code.js
,最终通过 ifream 嵌套https://www.yousuu.com/safe/index.html
页面来加载博彩页面。
https://www.yousuu.com/safe/static/js/isMobile.min.js
https://www.yousuu.com/safe/static/js/link.js
https://www.yousuu.com/safe/static/js/code.js
https://www.yousuu.com/safe/index.html
目前主站龙空网暂未观察到影响,但无法排除服务器数据库已经泄露,建议各位有龙空及优书网账号的用户尽快排查自己密码是否存在复用导致的撞库风险。推荐还没有使用密码管理工具的程序员考虑开源密码管理器 KeePass ,实现每个账号都是独立随机密码。
1
D0n9 175 天前
大概率是存储型 XSS
前端攻击 |
2
skadi 175 天前
之前在哪看到说优书不是已经跟龙空分家了吗?
|
3
fenglingyu 175 天前
前几天龙空才说优书网给别人独立运营了
|
4
bluebee OP @D0n9 目前来看,感觉不是注入问题。黑客 JS 文件和 HTML 文件在服务器上,并且使用域名解析。访问 https://www.yousuu.com/safe/ 也会打开博彩页面,感觉 Nginx 配置被修改了。
|
5
DAPTX4869 175 天前
这分家挺久了吧
|
6
bluebee OP @fenglingyu 那可能是官方行为(笑哭)?幸好优书网登陆只是为了看评论,手机修改 User-Agent 能绕过博彩页面。不过优书网是国内的,拿博彩广告当盈利很容易管理员喝茶。
|
7
fenglingyu 175 天前
@bluebee 确实,现在备案还是龙空的,要不是被挂马的话就要喝茶了。我的网站也被挂过博彩,这些人太烦了
|
8
Remember 175 天前
龙空真是小丑啊,穷成这样了吗?
|
9
fengci 174 天前
看龙空里是说已经卖了。
|