近日笔者一个废弃多年的网站被挂马，表现为打开网站页面不久就会弹出一些乱七八糟的弹窗对话框，随后即被跳转到一个钓鱼网站。

但神奇的是不知挂马者用了何种高科技术，每天仅有第一次打开网站才会被挂马引导，第二次之后访问一直正常，查看HTML中也没有任何痕迹，估计木马程序中有IP缓存监测，使得自己更为隐秘而不容易被站长发觉定位。（看来此类木马针对一次性访客定制，例如搜索引擎带来的客户）

 使用开发人员工具，利用元素审查定位弹窗即可发现以下被额外添加的挂马代码：

 利用工具全盘扫描包含want2free或者test.js这样的挂马关键字却没有任何发现，手工审查HTML模板文件也同样没有发现任何问题，那这段挂马到底在哪个文件上。

仔细研究这段源代码发现在本站正常调用的common.js后面就紧跟了挂马网站的JS调用，那么很有可能是JS调用有鬼，很可能挂马语句就在common.js中

打开果不其然，一看到这种eval加密的js八成有问题，好好的js不用，非要加密成这种鬼样子储存，再解密还原使用，肯定别有目的。用在挂马程序中躲避关键字搜索最实用了，这样就是为什么前面一直搜不到的原因。

好了，清除掉这段代码，并对比还原该文件以前的备份。

最后笔者登陆网站检测工具：  http://webscan.360.cn/   对glgem.com进行深度扫描，发现在一个子栏目页面中发现漏洞一个（对输入变量过滤规则的不严谨性导致的），从而可能获取shell权限，实施修复该漏洞即可彻底完工！

 本文核心思想： 提供类似挂马的问题定位思路，多使用工具可节省时间提高效率：

1、元素审查（用于定位挂马代码）

2、webscan（用于扫描网站漏洞定向修复）

3、养成良好的备份习惯，关键时刻自有用武之地