记一次网站被注入js的经历

我对web了解不是很多，如果有什么写的不对的地方可以指正

起因

今天访问了好久没管的论坛，发现跳转到了一个sq网站。。。

排查经过

然后突然想到了之前被挂马的事件（Event），f12看看 发现加载了一个陌生的jsmarket.js

看发起程序，应该是被注入了

查看了我所有网站的js，发现只有两个网站的js最后一行都被插入了同样的代码，而且更改日期都是11月24日 但是我这情况特殊，12月7日换过一次服务（Services）器，被挂马的服务器是之前的服务器，是在12月10日 而这段js是11月24日被插入的，而且两个服务器上都有 这就否定了是之前被挂马插入的js

感觉没什么大问题，想着先把js改回来看看 但是我不会js，不知道该改哪啊（（（

于是就想到更新一下程序（论坛用的Flarum，是最新版，但是就想更新一下试试） 还好，更新后最后一行没了 看看其他同日期更改的js，最后面一行也是更新后少了的这一行 所以就可以确定被插入的代码是在js的最后一行，以

(function(_0x516aad,_0x257ccd){var _0x8c8c72=_0x516aad();

开头，特别长的一行（下面放出了文件）

修复

删除那一行之后刷新cdn缓存，就不会加载market.js了

不过被注入的原因还不清楚，之后观察观察还会不会出现

代码样本

这里放出来我的js被插入的代码样本（未格式化），如果有大佬懂的话可以分析一下，我是不懂js（（（ 被注入的js.js