最近,我们的一位网站客户报告说,在打开网页时安装了木马。经过我司技术人员排查,最终确定51.la统计代码的js文件被劫持并重定向至非法网站。而且,他的挂马也相当隐蔽。下面我们就来看看具体情况吧!
该病毒代码仅适用于手机用户。电脑不会跳,手机会。具体来说,它是通过搜索而来的或有来源的。会跳转,而直接访问域名不会跳转,所以这个问题很难复现。
这很奇怪。经过网站反复测试,确实可以重现问题。当您使用从未访问过该网站的浏览器在手机上首次打开该网站时,页面加载后会跳转至非法网站。
按照这个表现,要么是域名被劫持,要么是网站的php文件或js文件被挂了。如果问题再次出现,我们就可以开始准备故障排除。
最后通过排除法重新安装了服务器操作系统和源代码,测试没有跳转。最后发现5l.la的js统计代码被加载了,开始被劫持跳转,可见这个病毒相当严重。隐藏”。
使用手机上的X浏览器打开控制台,然后打开网址进行测试,看到这样:
51la统计js文件被劫持的记忆唤醒了我,关于此事51la官方也发布了通知:
尊敬的51LA用户: 近期,我们收到部分用户反馈网站统计中JS统计异常的情况。平台正在密切关注。经初步排查,发现部分JS服务器出现异常,已经下线。详情内部仍在进一步分析原因,对于给您带来的影响我们深表歉意。
所以这很可能是客户网站使用的51la统计中的js文件有问题造成的。请客户删除51la统计代码,测试恢复正常。
总结一下:
对于这种跳转问题,如果网站是https的话,就不会是域名被劫持重定向了。主要可以检查网站文件和js文件。只要网站中的php文件没有加密,就很容易找出问题所在。重点仍然是故障排除。 js文件,可以通过排除法将js文件一一删除,就可以知道问题出在哪里。
本文链接:https://www.kuai5.com/article/102771.html
