Under søgning på Google fandt jeg et websted, der viser et sæt indhold til Google Bot og et andet til brugere (ved at omdirigere til et nyt domæne), og også en meget mistænkelig Javascript-fil. Måske er det en sporingscookie eller en virus / malware, det ved jeg ikke, så jeg spørger her, om nogen kan hjælpe med at forklare koden?
Hvis webstedet er “sikkert”, hvorfor omdirigerer det en søgemaskine til et normalt websted og brugere til en tom side ved at indlæse denne .js-fil? Hvorfor skal det have et getpassword.asp hostet på det andet omdirigerede domæne (fra sucuri-scanning)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0);
Kommentarer
- Hvis denne slags ting generer dig, skal du bruge et browser-plugin eller -udvidelse, der blokerer sporingswebsteder fra tredjeparter. Du ‘ Fratager dog webstedet indtægter.
Svar
Lad os rydde dette op og se nærmere på det. Jeg har også erstattet nogle HTML-enheder med deres tekstækvivalent:
Tilføj et linket billede til siden, kinesiske tegn blev kodet, men jeg ved ikke “synes ikke dette er mistænkeligt:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n");
Initialiser en række variabler, hovedsagelig med attributter om browseren og siden, såsom HTTP-henviseren og den aktuelle URL , dato, browseropløsning osv.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try {
Ser ud til at være på udkig efter eventuelle eksisterende cookies, der er indstillet af denne applikation for at holde en optælling af, hvor mange sider der har er besøgt. Denne værdi øges og gemmes i en cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();
Det ser grundlæggende ud til at forsøge at registrere, hvor mange forskellige sider du har set. Igen bruger den en cookie til at huske, om du “allerede har besøgt.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();
Diverse ting, sandsynligvis bare for at imødekomme forskellige browserfunktioner og -indstillinger, såsom cookies deaktiveres.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; }
Skriv alle disse oplysninger som GET-parametre i kildeattributten til et billede. Din browser indlæser dette, så kan deres server registrere dataene .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0);
Dybest set sporer det dig, inklusive den side, du ser på, hvor mange gange du har set webstedet, hvor mange sider du har har set, hvad din browseropløsning er osv.
Denne kunne være skadelig afhængigt af omstændighederne, selvom de fleste websteder kører sporing af en eller anden form, f.eks. Google Analytics. Det ” ikke udgøre en trussel mod maskinens integritet som nogen, der ser på siden, men det kan være en trussel mod dit privatliv.
De ulige variabelnavne får det til at virke som tilsløret malware, men jeg formoder, at dette er for at undgå variabel navngivningskonflikter med anden JavaScript.
Kommentarer
- Dette er en Google Analytics-konkurrent kaldet ” 51.la “. Webstedet, der spores her, er ” promgirl.de “. På den kinesiske version af dette websted har de ‘ sandsynligvis den samme diskussion om det mistænkelige ” i, s, o, g, r, a, m ” sporingssystem. 🙂
- Bemærk, at selvom dette script i sig selv er harmløst, bruges 51.la-trackere meget ofte i kinesisk malwareudnyttelse. Hvis det ses på et websted, der ikke på anden måde er knyttet til Kina, vil jeg tage tilstedeværelsen af et 51-script som et rødt flag for sandsynligt kompromis.
Svar
Nej, det ligner ikke en virus, men bestemt som et forsøg på at spore dine besøg på tværs af forskellige sider.
Dybest set samler det en masse information om din browser , nogle cookies, og hvilken side du kommer fra, og sætter alle disse som parametre i webadressen til et billede, det indlæses fra en server. Denne server kan derefter samle disse oplysninger fra dine besøg på denne og andre websteder med den samme kode i en brugerprofil, som sandsynligvis vil blive brugt til at vise dig målrettet reklame.
Svar
Så dette dukkede op på et sted, som jeg havde bygget til nogen. Her er hvad jeg kan se symptomatisk (jeg er ikke programmør).
Denne software er installeret på websteder specifikt for at omdirigere google spider-bot for at hente et ton indhold, der faktisk ikke er på det målrettede websted . Når du er i spil, vil du se trafikken til webstedet stige markant, men der er ingen faktiske fordele at se. Hvad disse fyre laver, fortæller google, at der er meget mere indhold på et websted, end det faktisk er. Når nogen klikker på et af disse falske links fra en google-søgning, omdirigeres de til en side, der sælger varer på legitime websteder.
Hvad der sker er, at disse fyre er tilknyttet de sider, der sælger varer, og de får provision fra hvert onlinesalg.
De er parasitter, der udnytter tusinder af andre folks “websteder for at tjene penge til sig selv.
Svar
Jeg stod over for de samme alarmer i vores miljø, så jeg var nysgerrig efter, hvad der genererer denne trafik. Når du tænker over det, skal der installeres malware i din browser som et plugin eller lignende, fordi jeg tydeligt kan se Googles søgeresultater med denne URL.
Eksempel:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602
Når du går til siden http://www.qupingche.com/comment/show/103
, er det et kinesisk websted, som jeg er 100% sikker på, at du ikke besøgte. dens side kan du se web51.la
ting i dette script:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script>
Og når du tjekker variablen for JavaScript, det øger den ønskede placering med et hvert 10. sekund.
Dette er hvad jeg så:
js.users.51.la/15942596.js
Og dette er den nyeste med samme indhold:
js.users.51.la/15994950.js
Så når du ser denne anmodning fra din klient, skal der være noget malware, der genererer denne anmodning på din computer !
.js
anmodning (eller en, hvor filnavnet er et nummer, relativt let at gøre med f.eks. RewriteCond og RegEx on Apache) og omdirigerer til en enkelt fil på serveren. Med det unikke navn , der er genereret på serversiden for hver anmodning, så kan det ‘ ikke blokeres af sit navn for at fungere som en simpel tæller, anmod tiltrækning, sporing, belastningsafbalancering eller anden grund, de måtte have haft.