A Google-on végzett keresés során találtam egy weboldalt, amely egy tartalomkészletet mutat a Google Botnak, egy másikat pedig a felhasználóknak (új domainre irányítva), és egy nagyon gyanús Javascript fájlt is. Lehet, hogy ez egy süti, vagy egy vírus / rosszindulatú program, nem tudom, ezért azt kérdezem itt, hogy tud valaki segíteni a kód megmagyarázásában?
Ha a webhely “biztonságos”, akkor miért irányít át egy kereső egy normál webhelyre, a felhasználók pedig egy üres oldalra a .js fájl betöltésével? Miért kell egy getpassword.asp fájlt tárolni a második átirányított tartományban (a sucuri vizsgálatból)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); Megjegyzések
- Ha ez a fajta dolog zavar, használjon egy böngészőbővítményt vagy -bővítményt, amely blokkolja a harmadik féltől származó nyomkövető webhelyeket. ‘ mégis megfosztja a webhelyet a bevételtől.
Válasz
Tisztítsuk meg és nézzük meg alaposabban, néhány HTML-entitást is helyettesítettem szöveges megfelelőikkel:
Csatolt kép hozzáadása az oldalhoz, kínai karaktereket kódoltak, de én nem “szerintem ez gyanús:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); Kezdeményezzen egy csomó változót, többnyire a böngésző és az oldal attribútumaival, például a HTTP hivatkozóval és az aktuális URL-lel , dátum, böngésző felbontása stb.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { Úgy tűnik, hogy az alkalmazás által beállított meglévő cookie-kat keresi annak érdekében, hogy számba vegye, hány oldal van Ez az érték növekszik és egy cookie-ban tárolódik.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); Alapvetően úgy tűnik, hogy megpróbálja rögzíteni, hogy hány különböző oldalt nézett meg. Ismét egy sütit használ, hogy emlékezzen arra, hogy már járt-e.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); Vegyes dolgok, valószínűleg csak a böngésző különböző képességeinek és beállításainak kielégítésére, mint pl. a cookie-k letiltva.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } Írja be ezeket az információkat GET paraméterként a kép forrásattribútumába. A böngészője ezt betölti, majd a szerverük rögzítheti az adatokat .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); Alapvetően nyomon követi Önt, beleértve az Ön által megtekintett oldalt, hányszor tekintette meg a webhelyet, hány oldalt Ön ” Megnéztük, mi a böngésző felbontása stb.
Ez a körülményektől függően rosszindulatú lehet, bár a legtöbb webhely valamilyen formában, például a Google Analyticsben követi nyomon. Nem ” Nem jelent veszélyt a gép integritására, mivel valaki megtekinti a webhelyet, de veszélyt jelenthet a magánéletére.
A páratlan változónevek elfojtott rosszindulatú programnak tűnik, de gyanítom, hogy ezzel elkerüljük a változó elnevezési ütközését más JavaScript-ekkel.
Megjegyzések
- Ez a Google divízis versenytársa, amelynek neve: ” 51.la “. Az itt követett webhely a következő: ” promgirl.de “. Ennek az oldalnak a kínai változatában ‘ valószínűleg ugyanezt a vitát folytatják a gyanús megjelenésű ” i, s, o, g, r, a, m ” követőrendszer. 🙂
- Ne feledje, hogy bár ez a szkript önmagában is ártalmatlan, az 51.la nyomkövetőket nagyon gyakran használják a kínai rosszindulatú programok kiaknázásában. Ha egy olyan webhelyen látom, amely egyébként nem kapcsolódik Kínához, akkor egy 51-es szkript jelenlétét vennék vörös zászlónak a valószínű kompromisszumok miatt.
Válasz
Nem, ez nem úgy néz ki, mint egy vírus, hanem mindenképpen egy kísérlet arra, hogy nyomon kövesse látogatásait a különböző webhelyeken.
Alapvetően egy csomó információt gyűjt a böngészőjéről. , néhány cookie-t és azt, hogy melyik oldalról jöttél, és ezeket mind paraméterként a szerverről betöltött kép URL-jébe helyezi. Ezután a szerver összegyűjtheti ezeket az információkat az Ön és más, ugyanazon kóddal rendelkező webhelyek látogatásai során egy felhasználói profilba, amelyet valószínűleg célzott hirdetések megjelenítésére használnak fel.
Válasz
Ez tehát egy olyan webhelyen jelent meg, amelyet valakinek készítettem. Ezt látom tünetileg (nem vagyok programozó).
Ez a szoftver kifejezetten a webhelyekre van telepítve, hogy átirányítsa a Google spider botot egy csomó olyan tartalom felvételére, amely valójában nincs a megcélzott webhelyen . Játék közben látni fogja, hogy a webhely forgalma jelentősen megnő, de tényleges előnyökről nem lehet számolni. Amit ezek a srácok csinálnak, azt mondja a Google-nek, hogy a webhelyen sokkal több tartalom van, mint amennyi valójában. Amikor valaki rákattint az egyik ilyen hamis linkre a Google keresésből, akkor egy olyan oldalra irányítja át, amely törvényes webhelyeken árusít árukat.
Az történik, hogy ezek a srácok leányvállalataik azoknak a webhelyeknek, amelyek értékesítik a áruk és jutalékot kapnak minden online értékesítésből.
Paraziták, akik más emberek ezer webhelyét használják ki, hogy pénzt keressenek maguknak.
Válasz
Ugyanazokkal a figyelmeztetésekkel szembesültem a környezetünkben, ezért kíváncsi voltam, mi generálja ezt a forgalmat. Ha belegondol, a böngészőjébe pluginnak vagy hasonlónak kell telepítenie néhány rosszindulatú programot, mert jól látom a Google keresési eredményeit ezzel az URL-lel.
Példa:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 Amikor a http://www.qupingche.com/comment/show/103 oldalra lép, az egy kínai webhely, amelyet 100% -osan biztosan nem látogattam meg. oldalán láthatja a web51.la dolgokat ebben a szkriptben:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> És amikor ellenőrzi a a JavaScript, 10 másodpercenként eggyel növeli a kért helyet.
Ezt láttam:
js.users.51.la/15942596.js És ez a legújabb, ugyanazzal a tartalommal:
js.users.51.la/15994950.js Tehát, amikor látja ezt a kérést az ügyfelétől, akkor kell lennie néhány rosszindulatú programnak, amely generálja ezt a kérést a számítógépén !
.jskérést (vagy olyat, ahol a fájlnév szám, viszonylag könnyen megtehető például RewriteCond és RegEx az Apache-on) és átirányít egyetlen fájlra a szerveren. Ha az egyedi név a szerver oldalon generálódik minden kéréshez, így ‘ nem egyszerűen blokkolható a nevével, egyszerű számlálóként, kérésként szolgál elhomályosítás, nyomon követés, terheléselosztás vagy bármilyen más ok, ami esetlegesen felmerült.