当我正在舒坦的喝着咖啡工作的时候，一个不小心输入了客户的网站，打算在看一遍自己的成就，结果呢，输入之后跳转一个莫名其妙的网站

0X001排查问题

问题：输入网址自动跳转其他网站

原因有三种：

1.网站被黑，在js文件中加入加密的源码，也有可能是服务器源码中出现陌生文件（这一般傻X才会干的事情），如果你登录服务器，或者登陆FTP看到陌生文件，黑客也没那么傻到千辛万苦黑入网站只为了放了个容易被杀掉的木马文件吧

2.DNS劫持，这个问题又分为两种，一种是你本地主机所在局域网DNS被劫持，另外一种是你的服务器主机网络DNS被劫持

3.你的网站源码中有后门文件，其实和第一种差不多，统称为木马，不过两者区别是一个主动一个被动，第一种是被动的放入后门或者说是放入挂黑页，木马，第二种是你主动够买的源码中有别人的后门木马。

DNS劫持是什么？

通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。

这是百度百科复制的，大神的写的一般正常人都看不懂，简单来说IP分为：地址，子网掩码，网关，DNS，那么DNS就是你本地主机将你请求的网络域名转化为ip的一个东西，也可以说是服务，再简单点来说，就是一排数字，很重要的数字在控制面板里面，网络ip中本地连接里的IPv4属性里的东西，所以我不过解释，自行百度去。

输入网址之后我们看到跳转到这个页面，这个页面是一个彩票的，如果有这样的情况出现，不要急，一部一部检查。

0X002排查问题存在原因

如果你的服务器是腾讯阿里服务器，那么这时候，我们需要进入远程控制服务器里面，找到服务器自带浏览器随便输入一个网站，看看是否有跳转情况。

如果有跳转情况，可以肯定的一件事，代码没问题，服务器网络问题，甚至可以确定服务器DNS被劫持，问题所在也许就是你的域名解析存在问题或服务器端口问题。

在这个情况下，我们还需要找到控制面板的IPV4属性将DNS自动搜索修改为114.114.114.114和114.114.115.115备用DNS，在进行确认。

如果你百分之百确认你的端口出入都没问题，并且并不是全部端口开放，只开放了80/3306/22/21等，并且，以上问题都不存在

那么这时候我们检查一下日志，服务器日志，数据库日志，网站日志，日志怎么检查自行百度，因为如果要说这个，又引出一大堆东西。

检查日志是排查找问题最好的途径，看一下日志是否出现陌生的IP，或者检查日志是否存在日期下你没有的操作记录。

如果日志中存在以上问题，我们可以确定一件事，网站被入侵了，如果没有，那么我检查一下源码是否存在后门

照常，如果你读过我的文章，应该知道我必用的手段，和常用工具，这时候我们用漏洞查找和文件路径查找，如果你的系统存在病毒扫描，也可以用上，这里我只简单用了御剑1.5目录扫描了一下，看是否存在路径下陌生文件，也可以通过其他的漏洞扫描工具扫描

这里因为我把文件权限设置过，并且删除admin路径和admin.php文件,换用其他的，所以我就不演示扫描情况，因为这里问题不出在文件上

如果以上问题你都没有出现，那么我们可以肯定一件事，挂马没有，服务器正常，只可能是DNS问题。

这里其实也不能一棒子敲定DNS问题，可能也存在CDN或者HTTPS劫持，但是大概思路是一样的，排查方法也一样，存在问题就是：

我们输入域名，自动跳转别的网站。

这时候也分情况，不同电脑出现不同的跳转，不同地区出现有的跳转正确，有的跳转不正确，不同的设备环境也存在，比如说同一个地方，同一个局域网，本地主机进不去，手机进得去。

别急，我们先抓包，这里有人可能会问我，抓包干什么？

要解决问题就要治根。抓包我们可以看一下头部信息，请求方式，分析一下跳转过程中js返回的内容。

0X003解决问题

抓包之后我的情况是一切正常，并没有出现HTTPS劫持的现象也没有JS返回错误问题，不报错。

那我就呵呵了，我他妈的遇到鬼了吗？

有的人会问我，HTTPS会出现劫持，不是防止劫持的吗？不是站点吗？

这个问题问的非常漂亮，满分，牛逼，HTTPS防止劫持，但也存在劫持，HTTPS主要防止js方式接触，但是DNS不会防止，那么还会有另一种可能，DNS和CDN厂商会加入一段js内容，存在广告现象，也可能几分钟，利用你的流量做广告推广。

WO TA MA DE 

这是我就来火了，二话不说直接客服，但是在我准备要点击提交工单的时候，我想起域名解析不对也会存在这情况，我就进到解析控制面板看了一下

WO TA MA DE

因为我的是服务器是新浪云的，这时我看到了SSL解析正确，验证正确，DNS解析“否”，我立马刷新，看到没反应，这时候我就怒火提交了工单，5分钟后，客服回馈，因为系统延迟，解析现在正常了。

我刷新之后的确出现了“是”，并且网站也正常了。

大惊小怪，吓死宝宝，宝宝本来想起那该死的彩票网站还以为人家搞鬼呢，正准备深夜着手计划下，但是

当我检查起他的ip的时候，我发现美国服务器，并且多个cdn，而且还不能ping

所以放弃了！！！

咖啡也冷了，重新泡，虚惊一场！cao