新聞源網站劫持

新聞源網站一般權重較高，收錄快，能夠被搜索引擎優先收錄，是黑灰產推廣引流的必爭之地，很容易成為被攻擊的對象。被黑以后主要掛的不良信息內容主要是博彩六合彩等賭博類內容，新聞源網站程序無論是自主開發的還是開源程序，都有被黑的可能，開源程序更容易被黑。

現象描述：

某新聞源網站首頁廣告鏈接被劫持到菠菜網站

有三個廣告專題，鏈接形式如下：

 http://www.xxx.cn/zhuanti/yyysc/index.shtml

 http://www.xxx.cn/zhuanti/wwwsc/index.shtml

 http://www.xxx.cn/zhuanti/zzzsc/index.shtml

點擊這三條鏈接會跳轉到博彩網站。簡單抓包分析一下過程：

可以發現此時這個返回頁面已被劫持，并且加載了第三方js文件，http://xn--dpqw2zokj.com/N/js/dt.js，進一步訪問該文件：

dt.js進一步加載了另一條js，訪問http://xn--dpqw2zokj.com/N/js/yz.js

我們發現鏈接跳轉到https://lemcoo.com/?dt，進一步訪問這個鏈接，網站為博彩鏈接導航網站，訪問后會隨機跳轉到第三方賭博網站。

問題處理：

找到url對應的文件位置，即使文件被刪除，鏈接依然可以訪問，可以發現三條鏈接都是以“sc”后綴。

對Nginx配置文件進行排查，發現Nginx配置文件VirtualHost.conf被篡改，通過反向代理匹配以“sc”后綴的專題鏈接，劫持到http://103.233.248.163，該網站為博彩鏈接導航網站。

刪除惡意代理后，專題鏈接訪問恢復。