网站被挂马 恶意跳转,凌晨4点熬夜排查代码

问题
通过搜索引擎进入网站,自动跳转到某网站(该网站域名tsnpx110.com)并进行多次重定向最后抵达淫秽网站,掌握信息有限

排查
通过排除法一步步排除可疑区域,先大后小。先粗略判断出恶意代码在哪个大文件夹中,后将范围压缩在某个文件内

将可疑文件夹进行重命名或临时移动其所在位置(可临时删除)并观察网站挂马情况,缩小范围到某文件中后对文件中代码进行临时删除 并观察网站挂马情况

通过一系列的排查,在将上图中代码剔除后发现网站恶意跳转问题消失,判断被挂马文件为jquery.js
找到该文件,打开后通过文本对比找出差异代码

发现该代码为加密状态,对代码进行解密获得一段链接(上图红字区域


通过该链接进行访问后发现内容如下,在其中又发现了 tsnpx110.com 这个域名,此时确定通过文本对比后多出来的代码为恶意代码,将其删除 网站恢复正常访问

记录

2021/03/30

网站恶意跳转,更换thinkphpapplication后恢复

网站广告挂马,通过检查发现文件无异常 最后在数据库中找到Js代码,删除后恢复