@freeor，你到服务器上看一下哪个进程在监听udp161 ，然后停掉就好了
小米MIX2s(白)

@艾木友尔尔巴，+1 用ubuntu 很舒服
小米MIX2s(白)

@yiluo，win10可以通过修改文件夹权限永久关闭自动更新 https://www.bilibili.com/video/BV1DF411q7ZJ/?vd_source=95289923721205bbf1067187e0816dc7
小米MIX2s(白)

大佬
小米MIX2s(白)

有幸遇到过：https://hu60.cn/q.php/bbs.topic.103814.html
小米MIX2s(白)

@罐子，没说怎么替换的
小米MIX2s(白)

@罐子，https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=96727&highlight=nginx
小米MIX2s(白)

刚刚在宝塔论坛看了下，很多人出现类似的问题，已经有人排查出是nginx二进制文件被替换了
小米MIX2s(白)

最新进展：之前重装nginx后 现在问题复现
小米MIX2s(白)

@残缘，大概数据流向如何，APP->nginx->tomcat/php-fpm？中间有没有其他CDN
小米MIX2s(白)

@大尨，有的会根据IP什么的决定
小米MIX2s(白)

@罐子，用了 https 应该不是中间人，例如运营商。。不过买通内部运维倒是有点可能，出现问题的两个网站服务器好像都在同一家公司的机房
小米MIX2s(白)

tcpdump
小米MIX2s(白)

@罐子，不会的，用了 https
小米MIX2s(白)

@罐子，现在不清楚是否还能复现
1.一开始是电脑都会弹
2.后面是只有手机会弹
3.重装nginx后次日晚，有两个使用校园网的访问反馈依然弹窗，但是更换数据流量后正常，证明不是浏览器js缓存的问题
4.可能又被挂马了，但是不是所有访问都弹，可能只有部分IP会弹，也不好复现
5.观察中
小米MIX2s(白)

@梦浪的小虾米，编译安装的nginx v1.20，其他的phpmyadmin，php版本什么的不确定

@罐子，另外罐子的群友遇到同样的挂马，是极速安装的nginxv 1.22（也是用的宝塔）

---

最新进展：使用goby和nessus扫描工具并未扫出服务器漏洞
小米MIX2s(白)

@加勒比海带，早不搞了
小米MIX2s(白)

@晨曦，我不是很会看漏洞，这是搜索到的一些nginx相关漏洞

https://www.tenable.com/cve/search?q=nginx&sort=newest&page=1
小米MIX2s(白)

目前进展：已经排查出是nginx出了问题
依据：在宝塔切换nginx到1.22后，不再挂马，再切换回1.20，也不再挂马（切换nginx版本相当于卸载重装）
现象：之前的nginx会对【符合条件的js文件，即文件达到一定长度】的响应内容中追加恶意js
难点：目前不知道为何nginx会追加恶意js，大致检查了下nginx配置文件，并未发现问题

不知道服务器是不是已经被入侵留木马了
小米MIX2s(白)

@罐子，我靠，弹的内容一模一样
小米MIX2s(白)