因为，最近我们公司推出了社会团体类单位信息化服务，因此就收集省内各个省级社会团体类单位信息化建设情况信息，主要为了做到心里有数，哪些单位没有网站，哪些单位有网站但网站状况不太乐观，理论上讲这些单位或许就是我们的目标客户。

通过我们的了解，发现有接近一半的单位是没有独立的官网的，而有官网的那一半大多数网站是疏于管理或者很久都没更新的。今天，就跟大家分享一个典型的案例：该单位为省级主流学术学会，负责该行业的学术活动，并主办省级大学生xx竞赛；因为我们仅仅是分享，所以隐去具体的单位名称，避免对目标单位带来不必要的麻烦。

打开这个网站的时候，我们的第一感觉是特别卡，加载完页面需要整整30秒，如下图：

通过进一步分析发现，这个网站打开图片或者后端接口其实还挺快的。然后发现了一个http://www.****.com/fa.js的资源最终是404，而这个资源是在页面的头部就加载了，所以导致了速度很卡。但在网页关联文件中搜索该地址没有任何信息。

通过进一步分析，发现这个网站全局头部被篡改了，如下图所示：

而方法String.fromCharCode中包含的字符串通过解码后其实就是上述的资源路径，然后该页面执行了该JavaScript脚本。如果这个脚本正常执行，应该就是在搜索引擎访问的时候，该网站会跳转到非法网站上面去。而现在非法脚本都404了，只能说明连黑产都直接放弃了此网站，都懒得通过之前找到的后门更新新的非法脚本了。因为作为一个创建至少8年的网站，在搜索引擎上竟然连一条收录都没有，连首页收录都没有，太离谱了。

通过互联网工具查看该网站的历史记录，发现该网站至少在2023年9月以前就已经被挂马了，而且被挂的内容跟现在的内容是不一样的，说明在此期间恶意攻击者犹如自家客厅一样在该网站来去自由。如下图：

我们认为这种疏于维护的网站完全没有存在的必要。因为网站本身的作用主要是做为单位的信息窗口，如果有业务功能可以提高单位与用户的工作效率。显然这个网站不具备这样的作用了，而且还会给单位带来不少的负面影响：

1、有网站，用户打开确是这样的体验差，甚至跳转到非法网站，让用户印象不好；

2、即便用户去这种网站去办理业务，只会是各种抱怨；

3、存在这样的安全问题竟然至少1年时间无人感知，无人处置，如果被主管相关部门发现，轻则通告批评，重则处罚。

所以，我们还是建议相关单位，如果做网站就要负起自己的主体责任。如果本单位无专业人士把关，建议邀请第三方专业力量介入，比如挂马的问题，我们开发的网站一般情况下不会被挂马，因为安全措施比较完善；即便万一被挂马，我们自研的安全巡查系统第一时间会发出预警信息，我们会在第一时间内进行处置。