求助 网站被劫持，每天第一次打开跳转棋牌网站，

挂个 http 代理 pc 上看。。。
或者挂个 chrome 远程调试。。。

话说怎么感觉是手机问题。。。

@ntedshen 试过，一挂代理或者远程调试就不会跳转

把手机的 UA 记下来，在 PC 上就可以复现了。其实你直接去看后台吧，肯定是被插马了，看看文件修改日期。先看看服务器怎么被入侵的。

你用手机挂代理去访问，这种多半是前段 js 里面有判断代码。可以根据 url 搜索 html ，js 文件，不过这种动态生成就没办法了。

@WoneFrank 打错了，前端 js

用了 CDN 的 JS ？

是不是叫什么真人三公 我网站也中招了

@Rache1 没有，用的都是 js 保存到服务器，
@xuing 试过，都排查过了，我搜了文件内容 location.href,也没有

@xuing 手机的 UA 记下来，在 PC 上就可以复现了，没用

@ultimate42 开元棋牌

51la 统计？

搜下 eval 关键字呢

@simonlu9 wireshark 的 androiddump 按理讲浏览器是看不到的。。。
或者要不起个 https 或者换个手机看看先？

@x86 https://clicky.com/

浏览器禁用下 js 看还跳转不, 如果还跳转很大很能是 meta 标签跳转的, 没之前的代码的, 整理覆盖下呢?

也有可能是 nginx 之类的。不一定非是前端部分。

开个 ssh 让我上去看看

之前帮坛友 解决问题的记录
https://v2ex.com/t/979950

先发链接来看看吧

上 https 吧

明显的 XSS 啊，从网站内容排查看看

估计是被挂马（包括但不限于后端定时注入跳转 JS/meta 标签，存储型 XSS ）了

我是 php 文件被注入了 meta 和这段 js 跟你一样 一到移动端就自动跳转了 我这个还挺明显的 代码就在 head 里
因为是公司的古董项目，我也不会 php 就把这段代码删掉完事 不知道后面还会不会再出现

https://gist.github.com/10816187/6145daaf6991d7ac567e9415b6b5725d

@yumusb 绿色软件 bHVqaWFud2U5NTc3

秒了，首页引入的 JS 被插入了一句话用来引入一个全新的 JS ，里面的内容是 https://pastebin.com/J9AHf4DT

换其他证书试试，不用 Let's Encrypt 。
看到你是套 cloudflare ，试试切到 Google Trust Services

@yumusb #24 可以再复盘一次了

代码是网上找的 php 模板吧，我也遇到过，web 文件夹先杀一遍，有些源码自带木马。。