Was macht diese Javascript-Datei? Ist das ein Virus?

Bei der Suche in Google habe ich eine Website gefunden, auf der ein Satz von Inhalten für den Google Bot und ein anderer für Benutzer angezeigt wird (indem auf eine neue Domain umgeleitet wird). und auch eine sehr verdächtige Javascript-Datei. Vielleicht ist es ein Tracking-Cookie oder ein Virus / eine Malware, ich weiß es nicht, also frage ich hier, ob jemand helfen kann, den Code zu erklären?

Wenn die Site „sicher“ ist, warum leitet sie a um? Suchmaschine zu einer normalen Website und Benutzer zu einer leeren Seite durch Laden dieser .js-Datei? Warum sollte eine getpassword.asp in der zweiten umgeleiteten Domäne (vom Sucuri-Scan) gehostet sein?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Kommentare

  • Wenn Sie so etwas stört, verwenden Sie ein Browser-Plugin oder eine Browser-Erweiterung, die Tracking-Websites von Drittanbietern blockiert. Sie ‚ berauben die Website jedoch der Einnahmen.

Antwort

Lassen Sie uns dies bereinigen und genauer betrachten. Ich habe auch einige HTML-Entitäten durch ihre Textäquivalente ersetzt:

Fügen Sie der Seite ein verknüpftes Bild hinzu, chinesische Schriftzeichen wurden codiert, aber ich ziehe sie nicht an „Ich halte das nicht für verdächtig:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Initialisieren Sie eine Reihe von Variablen, hauptsächlich mit Attributen über den Browser und die Seite, wie z. B. den HTTP-Referrer und die aktuelle URL , Datum, Browserauflösung usw.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Scheint nach vorhandenen Cookies zu suchen, die von dieser Anwendung gesetzt wurden, um zu zählen, wie viele Seiten vorhanden sind Dieser Wert wird erhöht und in einem Cookie gespeichert.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

Es scheint im Grunde zu versuchen, aufzuzeichnen, wie viele verschiedene Seiten Sie angesehen haben. Auch hier wird ein Cookie verwendet, um sich daran zu erinnern, ob Sie bereits besucht haben.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Verschiedene Dinge, wahrscheinlich nur, um unterschiedliche Browserfunktionen und -einstellungen zu berücksichtigen, wie z Cookies werden deaktiviert.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Schreiben Sie alle diese Informationen als GET-Parameter in das Quellattribut eines Bildes. Ihr Browser lädt dies, dann kann sein Server die Daten aufzeichnen .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

Grundsätzlich werden Sie verfolgt, einschließlich der Seite, die Sie gerade anzeigen, wie oft Sie die Site angesehen haben, wie viele Seiten Sie haben. haben gesehen, wie hoch Ihre Browserauflösung ist usw.

Dieses kann abhängig von den Umständen böswillig sein, obwohl auf den meisten Websites eine Form wie Google Analytics verfolgt wird. “ Sie stellen keine Bedrohung für die Integrität Ihres Computers dar, wenn jemand die Site anzeigt. Dies kann jedoch eine Bedrohung für Ihre Privatsphäre darstellen.

Die ungeraden Variablennamen lassen es wie verschleierte Malware erscheinen, aber ich vermute, dies dient dazu, Konflikte bei der Benennung von Variablen mit anderem JavaScript zu vermeiden.

Kommentare

  • Dies ist ein Google Analytics-Konkurrent mit dem Namen “ 51.la „. Die hier verfolgte Site ist “ promgirl.de „. In der chinesischen Version dieser Site haben sie ‚ wahrscheinlich die gleiche Diskussion über das verdächtig aussehende “ i, s, o, g, r, a, m “ Verfolgungssystem. 🙂
  • Beachten Sie, dass 51.la-Tracker, obwohl dieses Skript selbst harmlos ist, sehr häufig in chinesischen Malware-Exploits verwendet werden. Wenn ich es auf einer Site sehe, die nicht anderweitig mit China verbunden ist, würde ich das Vorhandensein eines 51-Skripts als rote Fahne für einen wahrscheinlichen Kompromiss betrachten.

Antwort

Nein, es sieht nicht wie ein Virus aus, sondern definitiv wie ein Versuch, Ihre Besuche auf verschiedenen Websites zu verfolgen.

Grundsätzlich werden eine Reihe von Informationen über Ihren Browser gesammelt , einige Cookies und die Seite, von der Sie stammen, und fügt all diese als Parameter in die URL eines Bildes ein, das von einem Server geladen wird. Dieser Server kann diese Informationen aus Ihren Besuchen auf dieser und anderen Websites mit demselben Code in einem Benutzerprofil zusammenfassen, das wahrscheinlich verwendet wird, um Ihnen gezielte Werbung anzuzeigen.

Antwort

Das zeigte sich also auf einer Site, die ich für jemanden erstellt hatte. Folgendes kann ich symptomatisch sehen (ich bin kein Programmierer):

Diese Software wird speziell auf Websites installiert, um den Google Spider-Bot umzuleiten und eine Menge Inhalte aufzunehmen, die sich nicht auf der Zielwebsite befinden . Wenn Sie im Spiel sind, werden Sie feststellen, dass der Traffic auf der Website erheblich zunimmt, aber es sind keine tatsächlichen Vorteile zu sehen. Was diese Leute tun, ist Google zu sagen, dass es auf einer Website viel mehr Inhalte gibt als tatsächlich. Wenn jemand in einer Google-Suche auf einen dieser gefälschten Links klickt, wird er auf eine Seite weitergeleitet, auf der Waren auf legitimen Websites verkauft werden.

Was passiert, ist, dass diese Leute Mitglieder der Websites sind, die die Websites verkaufen Waren und sie erhalten Provisionen aus jedem Online-Verkauf.

Sie sind Parasiten, die Tausende von Websites anderer Völker ausnutzen, um Geld für sich selbst zu verdienen.

Antwort

Ich war in unserer Umgebung mit denselben Warnungen konfrontiert, daher war ich neugierig, was diesen Datenverkehr erzeugt. Wenn Sie darüber nachdenken, muss in Ihrem Browser Malware als Plugin oder ähnliches installiert sein, da ich die Google-Suchergebnisse mit dieser URL deutlich sehen kann.

Beispiel:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

Wenn Sie zur Seite http://www.qupingche.com/comment/show/103 gehen, ist es eine chinesische Website, von der ich zu 100% sicher bin, dass Sie sie nicht besucht haben Auf seiner Seite sehen Sie das web51.la Zeug in diesem Skript:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

Und wenn Sie die Variable von überprüfen Beim JavaScript wird der angeforderte Speicherort alle 10 Sekunden um eins erhöht.

Folgendes habe ich gesehen:

js.users.51.la/15942596.js 

Und das ist Die neueste Version mit demselben Inhalt:

js.users.51.la/15994950.js 

Wenn Sie diese Anforderung von Ihrem Client sehen, muss auf Ihrem Computer Malware vorhanden sein, die diese Anforderung generiert !

Kommentare

  • Wie in den folgenden Antworten erwähnt, bietet dieses Skript einen Verfolgungsmechanismus für Websitebesitzer. Es ist nicht auf ein von Benutzern installiertes Plugin angewiesen. Es scheint unschuldig zu sein, obwohl es möglicherweise eine Bedrohung für die Privatsphäre darstellt – genau wie Google Analytics.
  • Warum sollten Sie sich zu 100% sicher sein, welche Websites andere Personen besucht haben?
  • Es gibt ‚ absolut keine Notwendigkeit für etwas auf der Client-Seite, um diese eindeutigen Anforderungen zu generieren. Ich sehe auch keine Beweise dafür, dass ‚ stattfindet. Die Täter könnten einen Webserver eingerichtet haben, der jede .js -Anforderung entgegennimmt (oder eine, bei der Dateiname eine Zahl ist, die relativ einfach zu handhaben ist, z. B. RewriteCond und RegEx auf Apache) und leitet zu einer einzelnen Datei auf dem Server weiter. Mit dem eindeutigen Namen , der auf der Serverseite für jede Anforderung generiert wird, kann ‚ nicht einfach durch seinen Namen blockiert werden, um als einfache Zähleranforderung zu dienen Verschleierung, Nachverfolgung, Lastausgleich oder ein anderer Grund, den sie möglicherweise hatten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.