最近我們有網站客戶反應說打開網頁掛了木馬���,經過我們技術人員排查后����,最終確定是#統計代碼的js文件被劫持會跳轉違法網站���。而且他這個掛馬也是掛的相當的隱蔽��,下面就看下具體是什么情況����!
該病毒代碼只針對手機端用戶����,電腦不跳轉���,手機端才會����,具體是��,通過搜索進來或者有來源才會跳轉�,直接訪問域名也不會跳轉��,所以這個問題比較難復現����。
這種就很奇怪�,反復測試了下網站確實可以復現這個問題���,在手機端用沒訪問過該網站的瀏覽器靠前次打開該網站��,頁面加載完成后會跳轉到一個違法網站上去����。
按照這種表現來說要么是域名被劫持了���,要么就是網站的php文件或者js文件被掛馬了�,問題復現然后就能開始準備排查了�����。
最后通過排除法”重裝了服務器操作系統�����,源碼����,測試不會跳轉�,最后發現加載了5l.la 的 js統計代碼�,就開始被劫持跳轉了�,所以這個病毒是相當的隱藏“�。
手機端用X瀏覽器可以打開控制臺�����,然后再打開網址測試看到了這個:
關于51la統計js文件被劫持的回憶喚醒了我���,關于這個事情51la官方還出了份通知:
尊敬的51LA用戶: 近期收到部分用戶反饋網站統計JS異常問題�����,平臺高度關注����,經初步排查����,發現部分JS服務器存在異常�,現已做下線處理�����,具體原因內部還在進一步分析����,給您帶來影響�,十分抱歉�����。
所以這八九不離十就應該是客戶網站用的51la統計里面的js文件出問題了導致的����,讓客戶刪掉51la統計代碼測試恢復正常了���。
總結下:
這種跳轉類問題��,如果網站上了https就不會是域名被劫持跳轉�����,主要可以排查網站文件和js文件����,網站里面的php文件只要沒加密是很好看出問題來的�����,重點還是排查js文件���,可以通過排除法一個一個去掉js文件即可得知是哪里造成的問題了���。
