【已回应】网站劫持跳转到灰产

各位老师好，小站最近一段时间似乎是被劫持了，一打开就会跳转到灰产网站。
将网站文件下载下来找了也没有发现被改动的地方，网站用的是php+mysql+apache，服务器是linux centos，使用的宝塔面板。
根据调试，发现跳转的时候先是会运行以下代码：

然后这段代码会生成如下代码运行，就跳转了

在服务器上使用grep命令搜索了相关关键词，也没有找到。
请问还有什么办法可以解决吗？
谢谢。

宝塔用户_vohsjf · 发表于 2021-5-31 10:33:57

谢花郎发表于 2021-5-31 10:16
你这个应该是通过文件的篡改进行跳转的，你可以整体排查你自己找到的那个文件。
将内容清理一下，如果你有 ...

而且我还试了一个单独的文件到域名下，比如 www.bt.cn/sitemap.xsl，连这个文件都会跳转

宝塔用户_fvguxn · 发表于 2021-5-31 09:51:36

你应该是代码有问题吧?难道是传说中的dede建的站?

谢花郎 · 发表于 2021-5-31 10:16:11

你这个应该是通过文件的篡改进行跳转的，你可以整体排查你自己找到的那个文件。
将内容清理一下，如果你有网站的备份，你可以直接将备份的文件替换到你网站内。

宝塔用户_vohsjf · 发表于 2021-5-31 10:29:59

宝塔用户_fvguxn 发表于 2021-5-31 09:51
你应该是代码有问题吧?难道是传说中的dede建的站?

程序是自己写的，代码全下载来看了也没找到

宝塔用户_vohsjf · 发表于 2021-5-31 10:31:11

谢花郎发表于 2021-5-31 10:16
你这个应该是通过文件的篡改进行跳转的，你可以整体排查你自己找到的那个文件。
将内容清理一下，如果你有 ...

这个文件没有找到，我是在F12工具下查看到的，一打开网站就跳转了运行第一个图的代码

宝塔用户_vohsjf · 发表于 2021-5-31 20:43:50

还发现一个问题，家里的WIFI会跳转，用数据、其他地方打开就不会，这难道是DNS劫持吗？

haocker · 发表于 2022-1-8 10:50:01

宝塔用户_vohsjf 发表于 2021-5-31 20:43
还发现一个问题，家里的WIFI会跳转，用数据、其他地方打开就不会，这难道是DNS劫持吗？ ...

我这边也一样，网站程序清空都会跳转

haocker · 发表于 2022-1-8 10:51:52

我这里也是这样的代码，我用的nginx，网站清空了都不行

Hrlni · 发表于 2022-12-10 19:48:47

宝塔用户_vohsjf 发表于 2021-5-31 20:43
还发现一个问题，家里的WIFI会跳转，用数据、其他地方打开就不会，这难道是DNS劫持吗？ ...

解决了嘛

宝塔用户_gpomkg · 发表于 2023-3-1 23:19:56

宝塔面板7.9.82 中招，一直在跳，重装 nginx 1.22 过一会样跳 ,这么久没出解决方案，准备用小皮面板