Při vyhledávání na Googlu jsem našel web, který zobrazuje jednu sadu obsahu Google Bot a další uživatelům (přesměrováním na novou doménu), a také velmi podezřelý soubor Javascript. Možná je to sledovací cookie nebo virus / malware, nevím, takže se ptám zde, jestli někdo může vysvětlit kód?
Pokud je web „bezpečný“, proč přesměrovává vyhledávač na normální web a uživatelé na prázdnou stránku načtením tohoto souboru .js? Proč by měl mít soubor getpassword.asp hostovaný na druhé přesměrované doméně (ze skenování sucuri)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); Komentáře
- Pokud vás takové věci trápí, použijte plugin nebo rozšíření prohlížeče, které blokuje weby pro sledování třetích stran. ‚ Přesto web zbavíte příjmů.
Odpovědět
Pojďme to vyčistit a podívejme se na to blíže, také jsem nahradil některé entity HTML jejich textovým ekvivalentem:
Přidejte na stránku propojený obrázek, čínské znaky byly zakódovány, ale já ne „To si nemyslím, že je to podezřelé:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); Inicializujte spoustu proměnných, většinou s atributy o prohlížeči a stránce, jako je HTTP referrer a aktuální URL , datum, rozlišení prohlížeče atd.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { Zdá se, že hledá všechny existující soubory cookie nastavené touto aplikací, aby udržel počet stránek byla navštívena. Tato hodnota je zvýšena a uložena v souboru cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); Zdá se, že se v podstatě pokouší zaznamenat, kolik různých stránek jste si prohlíželi. Znovu používá soubor cookie, který si pamatuje, zda jste již navštívili.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); Různé věci, pravděpodobně jen kvůli různým možnostem a nastavením prohlížeče, například deaktivace souborů cookie.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } Všechny tyto informace zapište jako parametry GET do zdrojového atributu obrázku. Váš prohlížeč to načte, aby jejich server mohl zaznamenat data .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); V zásadě vás sleduje, včetně stránky, kterou prohlížíte, kolikrát jste si web prohlíželi, kolik stránek jste “ Prohlíželi jsme si, jaké je vaše rozlišení prohlížeče atd.
Toto může být škodlivé v závislosti na okolnostech, i když většina webů sleduje nějakou formu, jako je Google Analytics. “ nepředstavuje hrozbu pro integritu vašeho počítače, protože někdo prohlíží web, ale může to být hrozba pro vaše soukromí.
Názvy lichých proměnných vypadají jako zmatený malware, ale domnívám se, že je třeba se vyhnout konfliktům pojmenování proměnných s jiným JavaScriptem.
Komentáře
- Toto je konkurent Google Analytics s názvem “ 51.la „. Zde sledovaný web je “ promgirl.de „. Na čínské verzi tohoto webu ‚ mají pravděpodobně stejnou diskusi o podezřele vypadající “ i, s, o, sledovací systém g, r, a, m „. 🙂
- Všimněte si, že i když je tento skript sám o sobě neškodný, sledovače 51.la se velmi často používají v čínských malware. Pokud se zobrazí na webu, který není jinak spojen s Čínou, vzal bych přítomnost skriptu 51 jako červenou vlajku pro pravděpodobný kompromis.
Odpovědět
Ne, nevypadá to jako virus, ale rozhodně jako pokus o sledování vašich návštěv na různých webech.
V zásadě shromažďuje spoustu informací o vašem prohlížeči , některé soubory cookie a ze které stránky pocházíte, a všechny tyto parametry umístí jako parametry do adresy URL obrázku, který se načte ze serveru. Tento server pak může agregovat tyto informace z vašich návštěv tohoto a dalších webů se stejným kódem do uživatelského profilu, který se pravděpodobně použije k zobrazení cílené reklamy.
Odpověď
Toto se tedy ukázalo na webu, který jsem pro někoho vytvořil. Zde je to, co vidím symptomaticky (nejsem programátor).
Tento software je nainstalován na webech konkrétně k přesměrování robota Google Spider, aby vyzvedl hromadu obsahu, který ve skutečnosti není na cílovém webu. . Když budete ve hře, uvidíte, že se provoz na webových stránkách výrazně zvýší, ale nejsou zde žádné skutečné výhody. To, co tito lidé dělají, je, že Googlu říká, že na webu je mnohem více obsahu, než ve skutečnosti je. Když někdo klikne na jeden z těchto falešných odkazů z vyhledávání Google, bude přesměrován na stránku, která prodává zboží na legitimních stránkách.
Děje se, že tito lidé jsou přidruženými společnostmi k webům, které prodávají zboží a získávají provize z každého on-line prodeje.
Jsou to paraziti, kteří využívají tisíce webů jiných lidí k vydělávání peněz pro sebe.
Odpověď
V našem prostředí jsem měl stejné výstrahy, takže jsem byl zvědavý, co tento provoz generuje. Když o tom přemýšlíte, musí být ve vašem prohlížeči nainstalován nějaký malware jako plugin nebo podobně, protože s touto adresou URL vidím jasně výsledky vyhledávání Google.
Příklad:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 Když přejdete na stránku http://www.qupingche.com/comment/show/103, jedná se o čínský web, o kterém jsem si 100% jistý, že jste jej nenavštívili. na jeho stránce můžete v tomto skriptu vidět obsah web51.la:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> A když zkontrolujete proměnnou JavaScript, zvyšuje požadované místo o každých 10 sekund.
Toto jsem viděl:
js.users.51.la/15942596.js A toto je nejnovější se stejným obsahem:
js.users.51.la/15994950.js Takže když uvidíte tento požadavek od vašeho klienta, pak ve vašem počítači musí být nějaký malware generující tento požadavek !
.jspožadavek (nebo ten, kde název souboru je číslo, což je relativně snadné, řekněme RewriteCond a RegEx na Apache) a přesměruje se na jeden soubor na serveru. S jedinečným názvem vygenerovaným na straně serveru pro každý požadavek, takže jej ‚ nelze jednoduše zablokovat podle jeho názvu, aby sloužil jako jednoduchý čítač, požadavek zmatek, sledování, vyvažování zátěže nebo jakýkoli jiný důvod, který by mohli mít.