最近我們有網(wǎng)站客戶(hù)反應(yīng)說(shuō)打開(kāi)網(wǎng)頁(yè)掛了木馬，經(jīng)過(guò)我們技術(shù)人員排查后，最終確定是51.la統(tǒng)計(jì)代碼的js文件被劫持會(huì)跳轉(zhuǎn)違法網(wǎng)站。而且他這個(gè)掛馬也是掛的相當(dāng)?shù)碾[蔽，下面就看下具體是什么情況！

該病毒代碼只針對(duì)手機(jī)端用戶(hù)，電腦不跳轉(zhuǎn)，手機(jī)端才會(huì)，具體是，通過(guò)搜索進(jìn)來(lái)或者有來(lái)源才會(huì)跳轉(zhuǎn)，直接訪(fǎng)問(wèn)域名也不會(huì)跳轉(zhuǎn)，所以這個(gè)問(wèn)題比較難復(fù)現(xiàn)。

這種就很奇怪，反復(fù)測(cè)試了下網(wǎng)站確實(shí)可以復(fù)現(xiàn)這個(gè)問(wèn)題，在手機(jī)端用沒(méi)訪(fǎng)問(wèn)過(guò)該網(wǎng)站的瀏覽器第一次打開(kāi)該網(wǎng)站，頁(yè)面加載完成后會(huì)跳轉(zhuǎn)到一個(gè)違法網(wǎng)站上去。

按照這種表現(xiàn)來(lái)說(shuō)要么是域名被劫持了，要么就是網(wǎng)站的php文件或者js文件被掛馬了，問(wèn)題復(fù)現(xiàn)然后就能開(kāi)始準(zhǔn)備排查了。

最后通過(guò)排除法”重裝了服務(wù)器操作系統(tǒng)，源碼，測(cè)試不會(huì)跳轉(zhuǎn)，最后發(fā)現(xiàn)加載了5l.la 的 js統(tǒng)計(jì)代碼，就開(kāi)始被劫持跳轉(zhuǎn)了，所以這個(gè)病毒是相當(dāng)?shù)碾[藏“。

手機(jī)端用X瀏覽器可以打開(kāi)控制臺(tái)，然后再打開(kāi)網(wǎng)址測(cè)試看到了這個(gè)：

關(guān)于51la統(tǒng)計(jì)js文件被劫持的回憶喚醒了我，關(guān)于這個(gè)事情51la官方還出了份通知：

尊敬的51LA用戶(hù)： 近期收到部分用戶(hù)反饋網(wǎng)站統(tǒng)計(jì)JS異常問(wèn)題，平臺(tái)高度關(guān)注，經(jīng)初步排查，發(fā)現(xiàn)部分JS服務(wù)器存在異常，現(xiàn)已做下線(xiàn)處理，具體原因內(nèi)部還在進(jìn)一步分析，給您帶來(lái)影響，十分抱歉。

所以這八九不離十就應(yīng)該是客戶(hù)網(wǎng)站用的51la統(tǒng)計(jì)里面的js文件出問(wèn)題了導(dǎo)致的，讓客戶(hù)刪掉51la統(tǒng)計(jì)代碼測(cè)試恢復(fù)正常了。

總結(jié)下：

這種跳轉(zhuǎn)類(lèi)問(wèn)題，如果網(wǎng)站上了https就不會(huì)是域名被劫持跳轉(zhuǎn)，主要可以排查網(wǎng)站文件和js文件，網(wǎng)站里面的php文件只要沒(méi)加密是很好看出問(wèn)題來(lái)的，重點(diǎn)還是排查js文件，可以通過(guò)排除法一個(gè)一個(gè)去掉js文件即可得知是哪里造成的問(wèn)題了。

本文鏈接：http://www.sztqnet.com/article/1361.html