最近我們有網站客戶反應說打開網頁掛了木馬，經過我們技術人員排查后，最終確定是51.la統(tǒng)計代碼的js文件被劫持會跳轉違法網站。而且他這個掛馬也是掛的相當的隱蔽，下面就看下具體是什么情況！

該病毒代碼只針對手機端用戶，電腦不跳轉，手機端才會，具體是，通過搜索進來或者有來源才會跳轉，直接訪問域名也不會跳轉，所以這個問題比較難復現(xiàn)。

這種就很奇怪，反復測試了下網站確實可以復現(xiàn)這個問題，在手機端用沒訪問過該網站的瀏覽器第一次打開該網站，頁面加載完成后會跳轉到一個違法網站上去。

按照這種表現(xiàn)來說要么是域名被劫持了，要么就是網站的php文件或者js文件被掛馬了，問題復現(xiàn)然后就能開始準備排查了。

最后通過排除法”重裝了服務器操作系統(tǒng)，源碼，測試不會跳轉，最后發(fā)現(xiàn)加載了5l.la 的 js統(tǒng)計代碼，就開始被劫持跳轉了，所以這個病毒是相當的隱藏“。

手機端用X瀏覽器可以打開控制臺，然后再打開網址測試看到了這個：

關于51la統(tǒng)計js文件被劫持的回憶喚醒了我，關于這個事情51la官方還出了份通知：

尊敬的51LA用戶： 近期收到部分用戶反饋網站統(tǒng)計JS異常問題，平臺高度關注，經初步排查，發(fā)現(xiàn)部分JS服務器存在異常，現(xiàn)已做下線處理，具體原因內部還在進一步分析，給您帶來影響，十分抱歉。

所以這八九不離十就應該是客戶網站用的51la統(tǒng)計里面的js文件出問題了導致的，讓客戶刪掉51la統(tǒng)計代碼測試恢復正常了。

總結下：

這種跳轉類問題，如果網站上了https就不會是域名被劫持跳轉，主要可以排查網站文件和js文件，網站里面的php文件只要沒加密是很好看出問題來的，重點還是排查js文件，可以通過排除法一個一個去掉js文件即可得知是哪里造成的問題了。

本文鏈接：http://www.dzldskjx.com/article/1361.html