求助！公司官网用手机端访问是会转跳到黄色广告页面

防止被篡改的办法就是用 HTTPS

看看供应链投毒

遇到过 有 js 投毒

@yidinghe #1 网站建立初期到现在都是 https 呢，诶

@xuecan #4 那像 js 投毒会在服务器生成恶意代码吗，我还没见过，不是很懂

看看有无引用第三方 js ，比如 第三方的统计代码，也会投毒。以及 dns 解析有没有问题。

盲猜 51la

大佬们，我之前遇到过 it 之家手机网页跳转到不良网站，开翻墙就行了。怎么回事

情况还是讲具体点吧，这个黄色广告是插入 div 的，还是跳转到新 url 的，还是其他的情况，
浏览器用手机模式情况怎样。
本地电脑 curl 下来的结果，跟在服务器端 curl 到的结果一致不

不能说个结论，然后让大家猜过程啊。

网址发来,群友鉴赏!

@hefish #10 应该服务器中，解析域名后到网站相应这个中间位置被改了，大概是被插入标签了

@follow #7 这个倒是没有，dns 就很怀疑有问题，但是不知道怎么下手

js 吧，之前遇见过

友情提示，非必要的话先把解析停了，
我们那次网站被篡改被网警查水表了，下的整改通知，还得回复情况说明、整改情况。

@yidinghe #1 @xuecan #4 @follow #7 他都说了放在本地正常，一到服务器就有问题，所以大概率是服务器的问题。被植入后门了，然后通过某些 nginx 扩展之类的，在访问的时候插入代码。

@Raynard #15 谢谢你，我们就是被网警通知有漏洞之后才知道的。

@Y25tIGxpdmlk #16 谢谢你的补充，非常感谢

@Raynard #14 没找到呢，线上环境也没找到，可能是跳转瞬间植入的

网警都通知有问题啦，那还下结论说代码没问题。。。
这个结论下的草率啊。。。

@VikingX #21 谢谢你的回复，我这边看下

@SSSLC77 用电脑访问呢？

@VikingX #24 电脑访问是正常的，唯独移动端会出现这个问题

@SSSLC77 那就是代码被篡改了，估计是被投毒了

DNS 污染？
非专业人员，瞎猜的，只是觉得这种情况有点像 DNS 污染。仅供参考。
可以手机全局代理访问网站试一下。

@SSSLC77 要不是前端代码写了链接跳转，要不就是后端接口判断是移动端就发起重定向

php+宝塔，纯度拉满了，肯定是服务器的 js 被加上了定时随机小概率跳转的恶意代码。

移动端 Chrome 也可以用 DevTools 呀，看一下在哪里跳转的呗

域名解析用的 cf 吗

随机检测的，cdn 被投毒了吧

地址发出来，2 分钟 广大网友就能给你把问题扒干净了

@SSSLC77 #6 不是的 你 php 有后门 被人加了一段 js 那段 js 判断了 user-agent 当是手机端的时候就会跳转

@Y25tIGxpdmlk #16 有道理 那跟我遇到的不一样 我遇到的是 php 后门导致 index.php 被篡改了 多了一段 js

talk is cheap, show me the domain name.

在烟台的一个大酒店碰到过：

而且还比较奇怪的是，那个色情网站就在厕所里显示

在外面大堂还不显示。

大概率已经被拿下了，网站是不是有漏洞

大概率网站有漏洞，小概率是宝塔的 nginx 被改了，之前发现过这个样本

grep 56d86f7d8382402517f3b5 试试，已知的后门有这个特征

不要用宝塔呀，宝塔一堆漏洞，直接服务器被拿权限的那种，宝塔谁用谁知道

这官网链接是有什么不能发的原因吗？

你在 GitHub 提 issue 都得发运行上下文环境和复现 demo ，这是让广大网友靠猜啊？

链接是不可能发的
家丑不能外扬

@lisongeee #42 1 不好意思，现在已经停掉了，有点尴尬，不过找到问题了

找了阿里云的售后工程师，说是 php7.3 版本漏洞导致的被篡改路由，现在更换回到 7.2 版本先看看。我也不是专业的，也只能先按照这个办法试试了。

@Hyschtaxjh #43 网警第一时间让我们停了，并让我们搞好后跟他们说下，然后再重新开启

如果你的网站是 https 的，那么可能是植入的 js 不是 https 的。比如某些平台的统计代码之类的。

@encro #47 谢谢你的回复，目前暂时是没什么问题了。不知之后如何

谢谢大家的热心回复，非常感谢你们。

@SSSLC77
确定没有问题了吗？
这个问题一般是当地通信行业黑产，第一次访问如果不是 HTTPS 就会被注入代码，再次刷新又没了。
要测试必须用不同的人设备去访问，一般是 100%第一次能复现。
这个黑产有多达？我曾今在用户群数量还不错的某公司做了一个测试，全国范围比例大于 20%。

@encro #50 我也不敢保证没有问题，毕竟我领导都不怎么追究了，有点难蚌。

控制台重写 window.open 方法，然后查看函数调用栈，大概就这个样子排查前端吧

1. 拦截请求，用 ua 伪装插件使用手机 ua ，看调用栈
2. 如果不是前端，查看 nginx 配置

当然最好是重装系统

是不是用了 goedge 的 cdn ？

排查一下有没有通过第三方的 cdn 引入 js 文件。如果是手动引入的 js 库文件，检查一下 js 文件和官方的有没有差别。

大概是第三方 CDN 的锅..

不像是 CDN 的问题，服务器那边被篡改的

貌似是 DNS 被劫持了，DNS 解析服务器切换新的试试？再不行检查一下本地 DNS 和 HOSTS 是否被篡改？

@x86 #8 哈哈 老流氓了。试过被 51 拉投毒。