Mitä tämä javascript-tiedosto tekee? Onko tämä virus?

Haun Googlessa löysin verkkosivuston, joka näyttää yhden sisältöjoukon Google Botille ja toisen käyttäjille (ohjaamalla uudelle verkkotunnukselle), ja myös erittäin epäilyttävä Javascript-tiedosto. Ehkä se ei ole eväste tai virus / haittaohjelma, en tiedä, joten kysyn, voiko joku auttaa selittämään koodia?

Jos sivusto on ”turvallinen”, miksi se ohjaa uudelleen hakukone normaalille verkkosivustolle ja käyttäjät tyhjälle sivulle lataamalla tämän .js-tiedoston? Miksi sen pitäisi olla getpassword.asp isännöity toiseen ohjattavaan verkkotunnukseen (sucuri-skannauksesta)?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Kommentit

  • Jos tällainen asia häiritsee sinua, käytä selaimen laajennusta tai laajennusta, joka estää kolmannen osapuolen seurantasivustot. ’ menet kuitenkin verkkosivustolta tuloja.

Vastaa

Puhdistetaan tämä ja tarkastellaan sitä tarkemmin, olen myös korvannut jotkut HTML-entiteetit niiden tekstivastaavilla:

Lisää linkitetty kuva sivulle, kiinalaiset merkit koodattiin, mutta en ”ei usko, että tämä on epäilyttävää:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Alusta joukko muuttujia, lähinnä selainta ja sivua koskevilla attribuuteilla, kuten HTTP-viite ja nykyinen URL , päivämäärä, selaimen tarkkuus jne.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Näyttää etsivän tämän sovelluksen asettamia olemassa olevia evästeitä pitääkseen laskennan kuinka monella sivulla on Tätä arvoa lisätään ja se tallennetaan evästeeseen.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

Näyttää siltä, että se yrittää periaatteessa tallentaa, kuinka monta erillistä sivua olet katsellut. Jälleen se käyttää evästettä muistamaan, jos olet jo käynyt.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Erilaisia asioita, todennäköisesti vain selaimen erilaisten ominaisuuksien ja asetusten, kuten evästeet poistetaan käytöstä.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Kirjoita kaikki nämä tiedot GET-parametreiksi kuvan lähdemääritteeseen. Selaimesi lataa tämän, jolloin palvelin voi tallentaa tiedot .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

Periaatteessa se seuraa sinua, mukaan lukien tarkastelemasi sivu, kuinka monta kertaa olet katsellut sivustoa, kuinka monta sivua olet ”. Olet katsellut, mikä selaimesi tarkkuus on, jne.

Tämä voi olla haitallinen olosuhteista riippuen, vaikka useimmat verkkosivustot seuraavat jonkinlaista lomaketta, kuten Google Analyticsia. Se ei ” ei uhkaa koneesi eheyttä, kun joku tarkastelee sivustoa, mutta se voi olla uhka yksityisyydellesi.

Parittomien muuttujien nimet näyttävät tekevän hämmentyneitä haittaohjelmia, mutta epäilen, että tällä pyritään välttämään muuttujien nimeämisristiriidat muiden JavaScriptien kanssa.

Kommentit

  • Tämä on Google Analytics -kilpailija nimeltä ” 51.la ”. Tässä seurattava sivusto on ” promgirl.de ”. Tämän sivuston kiinankielisessä versiossa he ’ käyvät todennäköisesti saman keskustelun epäilyttävän näköisistä ” i, s, o, g, r, a, m ” seurantajärjestelmä. 🙂
  • Huomaa, että vaikka tämä komentosarja on itse vaaraton, 51.la-seurantaohjelmia käytetään hyvin usein kiinalaisissa haittaohjelmien hyväksikäytöissä. Jos se näkyy sivustolla, joka ei ole muuten yhteydessä Kiinaan, ottaisin 51-skriptin läsnäolon punaisena lippuna todennäköisen kompromissin saamiseksi.

Vastaa

Ei, se ei näytä virukselta, vaan ehdottomasti yritykseltä seurata vierailujasi eri sivustoilla.

Periaatteessa se kerää joukon tietoja selaimestasi , joitain evästeitä ja millä sivulla olet tullut, ja lisää nämä kaikki parametreina palvelimelta ladattavan kuvan URL-osoitteeseen. Palvelin voi sitten koota nämä tiedot vierailuistasi tälle ja muille sivustoille samalla koodilla käyttäjäprofiiliin, jota todennäköisesti käytetään kohdennetun mainonnan näyttämiseen.

Vastaa

Joten tämä ilmestyi sivustolle, jonka olin rakentanut jollekulle. Tämän voin nähdä oireenmukaisesti (en ole ohjelmoija).

Tämä ohjelmisto on asennettu sivustoille nimenomaan ohjaamaan google hämähäkkirobotin poimiaksesi paljon sisältöä, jota ei itse asiassa ole kohdistetulla sivustolla . Pelatessasi verkkosivuston liikenne kasvaa merkittävästi, mutta todellisia etuja ei ole nähtävissä. Mitä nämä kaverit tekevät, kertoo Googlelle, että verkkosivustolla on paljon enemmän sisältöä kuin todellisuudessa on. Kun joku napsauttaa jotakin näistä väärennetyistä linkeistä Google-hausta, hänet ohjataan sivulle, joka myy tuotteita laillisilla sivustoilla.

Tapahtuu, että nämä kaverit ovat tytäryhtiöitä sivustoille, jotka myyvät tavaroita ja he saavat palkkioita kustakin online-myynnistä.

Ne ovat loisia, jotka käyttävät tuhansia muiden ihmisten sivustoja ansaitsemaan rahaa itselleen.

vastaus

Minulla oli samoja ilmoituksia ympäristössämme, joten olin utelias, mikä tuottaa tätä liikennettä. Kun ajattelet sitä, selaimeesi on asennettava haittaohjelmia laajennuksena tai vastaavaksi, koska näen selvästi Google-hakutulokset tällä URL-osoitteella.

Esimerkki:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

Kun siirryt sivulle http://www.qupingche.com/comment/show/103, se on kiinalainen verkkosivusto, jossa en ole 100% varma, ettet käynyt. sen sivulta näet web51.la -kohteet tässä komentosarjassa:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

Ja kun tarkistat muuttujan JavaScriptiä, se lisää pyydettyä sijaintia yhdellä 10 sekunnin välein.

Tämän näin:

js.users.51.la/15942596.js 

Ja tämä on uusin, jolla on sama sisältö:

js.users.51.la/15994950.js 

Joten kun näet tämän asiakkaasi pyynnön, tietokoneessa on oltava haittaohjelma, joka luo tämän pyynnön. !

Kommentit

  • Kuten alla olevissa vastauksissa mainitaan, tämä komentosarja tarjoaa seurantamekanismin verkkosivustojen omistajille. Se ei ole riippuvainen käyttäjien asentamasta laajennuksesta. Se näyttää olevan viaton, vaikkakin mahdollisesti uhka yksityisyydelle – täsmälleen samalla tavalla kuin Google Analytics.
  • Miksi olisit 100% varma siitä, millä sivustoilla muut ihmiset ovat käyneet?
  • Siellä ’ ei ole mitään tarvetta asiakkaan päähän tuottamaan näitä ainutlaatuisia pyyntöjä. En myöskään näe mitään todisteita siitä, että ’ tapahtuisi. Tekijät olisivat voineet perustaa verkkopalvelimen, joka ottaa vastaan minkä tahansa .js -pyynnön (tai sellaisen, jossa tiedostonimi on numero, suhteellisen helppo tehdä esimerkiksi sanojen RewriteCond ja RegEx on Apache) ja ohjaa yhteen tiedostoon palvelimella. Kun jokaiselle pyynnölle luodaan palvelinpuolella yksilöllinen nimi , jotta sitä ’ ei voida yksinkertaisesti estää nimellään, se toimii yksinkertaisena laskurina, pyydä hämärtyminen, jäljitys, kuormituksen tasapainottaminen tai jokin muu syy, jolla heillä voi olla.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *