saber 酱的抱枕

刚才我给网站添加了定时换头像的功能，改完后查看控制台时却发现有两个报错，说是有两个js脚本以http方式加载，因此被阻止了。（体现出了https的好处X2）

这就奇怪了，明明几分钟前控制台还没有任何报错的。

这俩脚本一个是陌生网站的，“www.taolecun.com/dx.js?advert=87”，这个玩意一看就是恶意代码。第二个是cnzz的。

恶意代码是通过被劫持的cnzz的core.php加载的，它返回的代码里有个loadjs函数，加载了恶意代码：

这说明cnzz的代码被劫持并修改了。

既然问题出在cnzz加载的代码里，那么有两个办法解决这个问题：

1.注释掉cnzz统计代码，这样恶意代码也不会通过cnzz加载了。等正常了再回复cnzz的代码。

2.cnzz统计代码默认会根据站点来判断它自己需要走http协议还是https协议：

var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");

按理说正常情况下它应该采用我网站的https协议的，但是刚才被劫持的时候可以看到cnzz的代码也是走的http协议。原因我不清楚，不过也不必追究原因。我们直接把cnzz的这个判断写死，固定成https，也可以解决这个问题。

其实就算自己的网站是http的，也可以正常加载https脚本，所以推荐让cnzz固定走https。

题外话：

打开这次恶意代码的url，发现它试图运行一大段js脚本：

里面有很多\x开头的，其实都是编码过的字符，可以通过解码还原成正常的字符。之后就可以分析它的源码了。但是我还原之后看了看代码量还挺不少，还做了混淆，就没再研究它了。不过我解码出了一些有意思的字符，比如"每天80万张淘宝%1v门槛现金券手慢%1v.com/?c=%1xYCRe0UnQHMG%1x“，这玩意算淘宝返利链接之类还是怎么回事？

这次的恶意代码是通过cnzz加载的，比较好发现和处理。如果木马是注入到服务器的文件里了，可以在网站的html、js、php等类型的文件里搜索恶意代码并全部清除。之后加强网站和服务器安全措施，以观后效。

ps2：我刚才又看了下，发现cnzz在网站底部生成的“站长统计”的链接始终是http的。虽然超链接不会对当前页面产生影响，只会在点击的时候才加载内容，不过cnzz作为用户众多的大站还是全部升级到https比较好。

（上面已经固定https了，但底下的超链接还是http的）

CNZZ统计代码被劫持挂马了