设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 340|回复: 1

cdnbest本地主控系统如何来检查随机跳转被黑问题,错误页面url功能失效,所有站点每隔30分钟301跳转一次其它站点

[复制链接]
 成长值: 27525

签到天数: 3552 天

[LV.Master]伴坛终老

发表于 2021/4/2 04:19 | 显示全部楼层 |阅读模式 |Google Chrome 89.0.4389.114|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
cdnbest本地主控系统如何来检查随机跳转被黑问题,错误页面url功能失效,所有站点每隔30分钟301跳转一次其它站点

问题所在,节点每隔30分钟跳转一次到这个网站:https://mollymacfedyk.com/

截图,发现301跳转,并且不是缓存输出引起,输出server头部为nginx,发现和kangle的输出头完全不一致,和kangle输出头不匹配,猜测是源站的问题
2.png

kangle 301跳转https访问输出头部是怎么样的
https://bbs.itzmx.com/forum.php?mod=viewthread&tid=97669&fromuid=1

通过hosts手段检查源站,和持续监控未发现异常,最终定位大概率情况应该还是cdnbest的kangle中出现了什么跳转规则,还是被人修改了回源ip地址。

通过检查3311规则,无发现任何异常,并且回源ip也正常,通过回应控制设置一个新规则匹配拒绝源站301跳转
看看有没有命中,有就是源站问题,如果没命中就是kangle节点问题,最终发现居然有命中,难道还是源站问题?

kangle回应控制中status_code匹配模块匹配=301状态码,拒绝源站响应301跳转
https://bbs.itzmx.com/forum.php?mod=viewthread&tid=97688&fromuid=1

并且错误页面url功能失效,没有相应自定义的400页面。不管怎么设置错误url功能,都不起效果,用cdnbest官方的,或者本地主控的都不行,没有输出

过了几天还是没找到解决问题的方法,然后来检查一下kangle的md5,,,发现,居然被人家给换了二进制文件,用源码重新编译过的,通过主控推送到节点进行更新。
  1. md5sum /vhs/kangle/bin/kangle
  2. /vhs/kangle/bin/kangle -v
复制代码


输出结果如下,发现并不是cdnbest官方提供的kangle版本,实锤了
[root@test]# md5sum /vhs/kangle/bin/kangle
64a1e36d7f3effa8e58d13a15cca522f  /vhs/kangle/bin/kangle
[root@test]# /vhs/kangle/bin/kangle -v
kangle/3.5.21.16(eterprise) build with support: ipv6 ssl[SNA]  large-file proxy upstream-ssl disk-cache sqlite-disk-index
pcre version: 8.32 2012-11-30
openssl version: OpenSSL 1.0.2k-fips  26 Jan 2017
UPDATE_CODE: centos-x64
jemalloc version: [5.0.1-0-gea6b3e973b477b8061e0076bb257dbd7f3faa756]


检查cdnbest官方的kangle版本输出结果为,可以很明显的发现,,对比上方被黑的版本和官方提供的不一致,被别人替换了kangle主程序的二进制文件
服务器1,centos7的节点
[root@test]# md5sum /vhs/kangle/bin/kangle
f3963b1216a5d1e2ff1b2665f9088e59  /vhs/kangle/bin/kangle
[root@test]# /vhs/kangle/bin/kangle -v
kangle/3.5.21.16(enterprise) build with support: ipv6 ssl[SNAE]  large-file http2 proxy upstream-ssl anti-cc big-object-206 upstream-http2 tproxy mserver-icp disk-cache sqlite-disk-index brotli
pcre version: 8.32 2012-11-30
openssl version: OpenSSL 1.1.1h  22 Sep 2020
UPDATE_CODE: centos7-x64
jemalloc version: [5.1.0-0-g61efbda7098de6fe64c362d309824864308c36d4]

服务器2,centos6的节点
[root@test]# md5sum /vhs/kangle/bin/kangle
f1b02b67a3760e3cb44de9cbc68e2a41  /vhs/kangle/bin/kangle
[root@test]# /vhs/kangle/bin/kangle -v
kangle/3.5.21.16(enterprise) build with support: ipv6 ssl[SNAE]  large-file http2 proxy upstream-ssl anti-cc big-object-206 upstream-http2 tproxy mserver-icp disk-cache sqlite-disk-index brotli
pcre version: 7.8 2008-09-05
openssl version: OpenSSL 1.1.1h  22 Sep 2020
UPDATE_CODE: centos6-x64
jemalloc version: [5.2.1-0-gea6b3e973b477b8061e0076bb257dbd7f3faa756]



解决办法,重新运行节点命令覆盖安装节点程序即可,等待官方后续更新,例如加入自身文件检测是否匹配版本MD5值有无异常。
ps:这个用源码编译二进制文件的人,,你版本号都改错了,是enterprise不是eterprise,你输出变成了eterprise,或者你是故意搞成这样吗!各位被黑的点开cdnbest节点详情,看是不是eterprise就知道是不是被黑了
至今被黑原因未知,等待官方上线修复,个人建议关闭admin访问后台试一下
cdnbest本地主控利用kangle实现禁止admin管理员后台控制面板登陆的方法
https://bbs.itzmx.com/thread-97666-1-1.html

被黑关联贴:https://bbs.itzmx.com/thread-97664-1-1.html

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 1064 天

[LV.10]以坛为家III

发表于 2021/4/3 02:53 | 显示全部楼层 |Google Chrome 89.0.4389.114|Windows 10
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2021/9/24 11:29 , Processed in 0.215491 second(s), 22 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表