由于前段时间，在别的也处理过一个类似的事件，当时事件最终定位是运营商的链路劫持，所以又出现同类的问题，就额外比较关注（激动……）。

在我排查前期，已经有友商的安全工程师对服务器进行了恶意代码排查，但未发现问题，故定位是运营商的问题。下面就是我针对此次事件的排查记录，最终定位还是服务器中的代码问题。

首先，当我第一次通过百度打开的时候，确实出现了跳转，再次访问就不再跳转，现象与之描述的相同。登录服务器，排查一遍恶意代码，确实未发现明显的恶意代码（问我使用什么工具？答：安全狗……），手工采用了notepad++对全局的aspx、js等代码进行搜索赌博等关键词，也无任何收获，当时的想法是，w88128可能并不是直接体现，也可能是通过一些列的组合拼接。详细看了index.aspx虽然发现了可疑代码，但最终分析得知是网站自身一个弹窗浮动的代码（浮动代码长的不像好人）。但也可能像其他安全工程师所怀疑的是运营商问题，那我首先排查到底是不是运营商的链路劫持。

由于同一个IP在一定时间内只能复现现象一次，故每次访问，都通过代理的方式，要不停的变换IP，在此过程中采用burpsuiteWireshark抓包，发现，通过百度搜索引擎访问过去的，都会先经过一个美国的IP地址98.126.249.100，然后再跳转到赌博网站上去，现象如下图：
 

当同一个IP访问的时候，也是先经过这个美国的IP，只不过再次返回的数据库已经不包含了[removed].href='https://www.w88128.com/?affiliateid=3562'。故判断，实际上所有通过搜索引擎过去的流量，都先经过美国的IP地址，美国的IP地址会做出判断，如果是第一次访问就返回[removed].href='https://www.w88128.com/?affiliateid=3562，如果在一定时间内访问，则不在出现此连接。这个时候，也有可能是百度的问题，但其它搜索引擎同样如此。</span></span> </div> <div style="margin:0px;padding:0px;color:#333333;font-family:'Microsoft Yahei', 'Hiragino Sans GB', arial, sans-serif, Helvetica, 宋体;font-size:14px;">   

排除运营商等外因：网站采用的是IIS+aspx，新建一个test文件夹，建个index.aspx首页，将网站指向该目录，发现网站未出现跳转。流量抓包发现也已经不在经过美国的IP地址，故原因还是出在网站代码。

已经明确了网站代码，接下来就是仔细的排查了。搜索IP98.126.249.100也未发现，最终搜索baidu的时候，找到了此恶意代码，如下：

总结：当通过百度等搜索引擎过去的流量，get数据包中的referrer，携带搜索引擎的信息，匹配了此JS，再跳转到赌博网站。