似曾相识

　　前一阵就听说搜狗将在2007年1月1日发布搜狗网页搜索3.0版，刚打开搜狗首页，醒目的宣传图片"搜狗网页搜索3.0全新上线，收录100亿中文网页"...
　　不管搜狗是否已经收录了100亿中文网页，搜狗这次升级可以说才能真正算的上专业搜索引擎。记得搜狗在2004年发布前一周，一直期待着想看看张朝阳所说的"第三代搜索引擎"倒底啥样，搜狗上线太让人失望了，竟然连专业搜索引擎起码的"高级搜索"都没有，张朝阳还曾号称搜狗一年之内超过百度，没有自己的特色，连高级搜索都没有，何谈超过百度？那时Google、百度搜索不到满意的结果就用雅虎、中搜，根本不会去用搜狗。
　　前一阵张朝阳说搜狗网页搜索2.5版已经达到百度的水平，3.0将完全超过百度...这次搜狗网页搜索升级，总算是有了"高级搜索"，也只能说是接近了百度的水平(虽然搜狗有不少自己的特色)，祝愿搜狗一路走好，毕竟多 家竞争才有利于搜索引擎的发展，期待几年后会出现Google、百度、搜狗三分天下的局面 ^o^

　　两个星期前，打开一个每天都去的软件站，地址栏还是那个网站，页面却没显示出来，看了下源文件却是一个网页内嵌框架——

<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://124.128.255.69:8787/ndatin.aspx?param=ABdXNlcm5hbWU9bGE5OTk4ODA3JnBvbGljeWlkPTIz&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www....com?'></frameset></HTML>

　　出现这种情况，再刷新一下就可以正常显示了，还以为是那个网站承接的某个广告，也没太在意。当天在浏览新浪科技和新浪体育时，也出现了类似的情况，都是在网页里内嵌了这个框架，而且有时候打开一个网站，会自动跳转为http://124.128.255.25/RLOCATION130/?LOC=....(LOC=后面为要打开的网页)
　　平时大多都用GreenBrowser浏览网页，而且默认禁用ActiveX，只在查看Flash、在线视频、音乐时才启用ActiveX，对不熟悉(感觉不好的网站)，把Script也禁用了，这样几乎不会在浏览网页时中毒，更不会在浏览网页时装上流氓软件，很纳闷那两个IP倒底是怎么来的？
　　先用Process Explorer 查看GreenBrowser和IE浏览网页时加载的dll，未发现异常，用Autoruns查看启动，非微软的启动项目里也没发现不明的sys、dll文件，System Repair Engineer查看浏览器加载项，也未发现多余的加载项。NOD32最新的病毒库，KVDOS上周末的病毒全盘扫描都没发现病毒....
　　给济南网通宽带维修人员拨了个电话，问他们最近济南网通是否用124.128.255.25、124.128.255.69 这两个IP推送广告，开始接电话的那人很肯定的说没有。我就问，你能肯定吗？网上炒的沸沸扬扬的中国电信星空极速拨号软件，就是在每天拨号成功后，第一次打开网页时，强制url跳转到电信的广告页面，关掉后才能浏览其它网页。那边也有些犹豫了，然后我说，那我拨10060去问，那边能承认吗？他说应该不会承认...
　　从上周起就开始搜索这两个IP，Google 搜索 124.128.255.69  时发现了几个结果——

　　我也碰到网通病毒了- 非洲饿鱼资料收集站

更奇怪的是浏览器还在访问一个124.128.255.69:8787地址，刚开始还以为是浏览器更查件在更新，可后来发现每个页面都有，看原文件，竟然给我的网站套了个框架！啊啊啊！ 被黑了！结果服务器上很正常...

　　PS：其中第一个留言是我写的。几天后，百度、雅虎也可以搜索到这个网页了。

　　今天中午用搜狗搜索，又找到一篇发在 Live Spaces 上的文章，分析的更详细一些——

　　山东网通也开始ndatin了

前天下午,我访问我为客户做的网站:http://www.hkkaw.com,页面打开后发现IE标题栏显示的是http://www.hkkaw.com/index.asp并非我在首页Index.asp中<TITLE></TITLE>段中指定的"汇康抗癌网",并且我发现无论我点击进入什么栏目,IE地址栏始终显示"http://www.hkkaw.com/index.asp",立刻在IE菜单中点"查看->源文件",发现是以下内容:
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://124.128.255.69:8787/ndatin.aspx?param=ABdXNlcm5hbWU9bGE5OTgyODAwJnBvbGljeWlkPTIz&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www.hkkaw.com/index.asp?'></frameset></HTML> 
熟悉HTML的人一眼就明白了,正常的页面被框架了,'frm123' 看起来似乎是一个广告页或其他页面,大小为0,所以看不到,而'frmOLD' 里就是本应该正常访问的URL.
我心想不好，服务器被攻击了...立刻登录服务器检查,却找不到任何被攻击的迹象,也找不到任何的木马病毒或流氓软件~~难道是本机出问题了???立刻更新杀毒软件,却查不到任何东西,查看IE插件,也没有什么不正常,注册表也无可疑项...

　　山东网通这种URL劫持真是比那些流氓软件更流氓，最初以为换个DNS服务器应该就可以了，找了个河北网通的DNS服务器，仍然不能避免。现在也没有什么好的解决方法，只能用防火墙拦截 124.128.255.69 和 124.128.255.25 这两个IP，GreenBrowser、Maxthon等浏览器把这两个IP加到网页过滤里，防火墙拦截 124.128.255.69  不影响打开网页，只是有时遇到 124.128.255.25 跳转页面，要重新打开一遍。这几天是越来越严重了，几乎打开每一个网页都会有124.128.255.69 内嵌框架，而且端口也不再只是最初的8787，而是随机变化的...