最近我們有網(wǎng)站客戶反應(yīng)說打開網(wǎng)頁掛了木馬，經(jīng)過我們技術(shù)人員排查后，最終確定是#統(tǒng)計(jì)代碼的js文件被劫持會跳轉(zhuǎn)違法網(wǎng)站。而且他這個掛馬也是掛的相當(dāng)?shù)碾[蔽，下面就看下具體是什么情況！

該病毒代碼只針對手機(jī)端用戶，電腦不跳轉(zhuǎn)，手機(jī)端才會，具體是，通過搜索進(jìn)來或者有來源才會跳轉(zhuǎn)，直接訪問域名也不會跳轉(zhuǎn)，所以這個問題比較難復(fù)現(xiàn)。

這種就很奇怪，反復(fù)測試了下網(wǎng)站確實(shí)可以復(fù)現(xiàn)這個問題，在手機(jī)端用沒訪問過該網(wǎng)站的瀏覽器第一次打開該網(wǎng)站，頁面加載完成后會跳轉(zhuǎn)到一個違法網(wǎng)站上去。

按照這種表現(xiàn)來說要么是域名被劫持了，要么就是網(wǎng)站的php文件或者js文件被掛馬了，問題復(fù)現(xiàn)然后就能開始準(zhǔn)備排查了。

最后通過排除法”重裝了服務(wù)器操作系統(tǒng)，源碼，測試不會跳轉(zhuǎn)，最后發(fā)現(xiàn)加載了5l.la 的 js統(tǒng)計(jì)代碼，就開始被劫持跳轉(zhuǎn)了，所以這個病毒是相當(dāng)?shù)碾[藏“。

手機(jī)端用X瀏覽器可以打開控制臺，然后再打開網(wǎng)址測試看到了這個：

關(guān)于51la統(tǒng)計(jì)js文件被劫持的回憶喚醒了我，關(guān)于這個事情51la官方還出了份通知：

尊敬的51LA用戶： 近期收到部分用戶反饋網(wǎng)站統(tǒng)計(jì)JS異常問題，平臺高度關(guān)注，經(jīng)初步排查，發(fā)現(xiàn)部分JS服務(wù)器存在異常，現(xiàn)已做下線處理，具體原因內(nèi)部還在進(jìn)一步分析，給您帶來影響，十分抱歉。

所以這八九不離十就應(yīng)該是客戶網(wǎng)站用的51la統(tǒng)計(jì)里面的js文件出問題了導(dǎo)致的，讓客戶刪掉51la統(tǒng)計(jì)代碼測試恢復(fù)正常了。

總結(jié)下：

這種跳轉(zhuǎn)類問題，如果網(wǎng)站上了https就不會是域名被劫持跳轉(zhuǎn)，主要可以排查網(wǎng)站文件和js文件，網(wǎng)站里面的php文件只要沒加密是很好看出問題來的，重點(diǎn)還是排查js文件，可以通過排除法一個一個去掉js文件即可得知是哪里造成的問題了。

本文鏈接：http://m.hkass.cn/article/1361.html