Cosa fa questo file javascript? È un virus?

Durante la ricerca su Google ho trovato un sito web che mostra un insieme di contenuti a Google Bot e un altro agli utenti (reindirizzando a un nuovo dominio), e anche un file Javascript molto sospetto. Forse è “un cookie di tracciamento o un virus / malware, non lo so, quindi chiedo qui se qualcuno può aiutarmi a spiegare il codice?

Se il sito è” sicuro “perché reindirizza un motore di ricerca su un normale sito Web e gli utenti su una pagina vuota caricando questo file .js? Perché dovrebbe avere un getpassword.asp ospitato sul secondo dominio reindirizzato (dalla scansione sucuri)?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Commenti

  • Se questo genere di cose ti infastidisce, utilizza un plug-in o unestensione del browser che blocchi i siti web di monitoraggio di terze parti. Tuttavia, ‘ priverai il sito web di entrate.

Rispondi

Puliamo e guardiamo più da vicino, ho anche sostituito alcune entità HTML con il loro equivalente testuale:

Aggiungi unimmagine collegata alla pagina, i caratteri cinesi sono stati codificati ma non “Non credo che sia sospetto:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Inizializza un gruppo di variabili, principalmente con attributi relativi al browser e alla pagina, come il referrer HTTP e lURL corrente , data, risoluzione del browser, ecc.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Sembra che stia cercando i cookie esistenti impostati da questa applicazione per tenere il conteggio del numero di pagine stato visitato. Questo valore viene incrementato e memorizzato in un cookie.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

In pratica sembra che stia cercando di registrare quante pagine distinte hai visualizzato. Anche in questo caso utilizza un cookie per ricordare se “hai già visitato.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Cose varie, probabilmente solo per soddisfare le diverse capacità e impostazioni del browser, come i cookie sono disabilitati.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Scrivi tutte queste informazioni come parametri GET nellattributo sorgente di unimmagine. Il tuo browser caricherà queste informazioni, quindi il loro server potrà registrare i dati .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

Fondamentalmente ti sta monitorando, inclusa la pagina che stai visualizzando, quante volte hai “visto il sito, quante pagine hai” visto, qual è la risoluzione del tuo browser, ecc.

Questo potrebbe essere dannoso a seconda delle circostanze, sebbene la maggior parte dei siti web esegua il monitoraggio di qualche forma come Google Analytics. Non lo fa ” t rappresenta una minaccia per lintegrità della tua macchina quando visualizzi il sito, ma potrebbe essere una minaccia per la tua privacy.

I nomi delle variabili dispari lo fanno sembrare un malware offuscato, ma sospetto che questo sia per evitare conflitti di denominazione delle variabili con altri JavaScript.

Commenti

  • Questo è un concorrente di Google Analytics chiamato ” 51.la “. Il sito monitorato qui è ” promgirl.de “. Nella versione cinese di questo sito, ‘ stanno probabilmente avendo la stessa discussione sullaspetto sospetto ” i, s, o, g, r, a, m ” sistema di monitoraggio. 🙂
  • Si noti che sebbene questo script sia di per sé innocuo, i tracker 51.la sono molto spesso utilizzati negli exploit di malware cinesi. Se visto su un sito non connesso in altro modo alla Cina, prenderei la presenza di uno script 51 come una bandiera rossa per un probabile compromesso.

Risposta

No, non sembra un virus, ma sicuramente un tentativo di monitorare le tue visite su siti diversi.

Fondamentalmente, raccoglie una serie di informazioni sul tuo browser , alcuni cookie e la pagina da cui provieni e inserisce tutti questi come parametri nellURL di unimmagine che carica da un server. Quel server può quindi aggregare queste informazioni dalle tue visite a questo e ad altri siti con lo stesso codice in un profilo utente, che probabilmente verrà utilizzato per mostrarti pubblicità mirata.

Risposta

Quindi questo è apparso su un sito che avevo creato per qualcuno. Ecco cosa posso vedere sintomaticamente (non sono un programmatore).

Questo software è installato sui siti appositamente per reindirizzare il bot di google spider per raccogliere una tonnellata di contenuti che non si trovano effettivamente sul sito mirato . Durante il gioco, vedrai aumentare in modo significativo il traffico verso il sito Web, ma non ci sono vantaggi effettivi da vedere. Quello che stanno facendo questi ragazzi è dire a Google che ci sono molti più contenuti su un sito web di quanto non lo siano in realtà. Quando qualcuno fa clic su uno di questi link falsi da una ricerca su Google, viene reindirizzato a una pagina che vende prodotti su siti legittimi.

Quello che sta accadendo è che questi ragazzi sono affiliati dei siti che vendono il beni e ricevono commissioni da ogni vendita online.

Sono parassiti che sfruttano i siti di migliaia di altre persone per fare soldi per se stessi.

Risposta

Mi sono trovato di fronte agli stessi avvisi nel nostro ambiente, quindi ero curioso di cosa stesse generando questo traffico. Quando ci pensi, è necessario che nel tuo browser sia installato del malware come plug-in o simile, perché posso vedere chiaramente i risultati di ricerca di Google con questo URL.

Esempio:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

Quando vai alla pagina http://www.qupingche.com/comment/show/103, è “un sito web cinese che sono” sicuro al 100% che tu non abbia “visitato. Su nella sua pagina, puoi vedere le web51.la cose in questo script:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

E quando controlli la variabile di JavaScript, incrementa la posizione richiesta di uno ogni 10 secondi.

Questo è ciò che ho visto:

js.users.51.la/15942596.js 

E questo è lultima con lo stesso contenuto:

js.users.51.la/15994950.js 

Quindi, quando vedi questa richiesta dal tuo client, allora deve esserci un malware che genera questa richiesta sul tuo computer !

Commenti

  • Come indicato nelle risposte seguenti, questo script fornisce un meccanismo di monitoraggio per i proprietari di siti web. Non si basa su un plugin installato dagli utenti. Sembra essere innocente, sebbene forse una minaccia per la privacy, esattamente come lo è Google Analytics.
  • Perché dovresti essere sicuro al 100% su quali siti hanno visitato altre persone?
  • Non ‘ non cè assolutamente bisogno di qualcosa dal lato client per generare queste richieste uniche . Inoltre, non vedo alcuna prova che ‘ si stia verificando. Gli autori avrebbero potuto configurare un server web che accetta qualsiasi richiesta .js (o uno in cui il nome file è un numero, relativamente facile da fare con, ad esempio, RewriteCond e RegEx su Apache) e reindirizza a un singolo file sul server. Con il nome univoco generato sul lato server per ogni richiesta in modo che ‘ non venga semplicemente bloccato dal suo nome, per fungere da semplice contatore, richiesta offuscamento, monitoraggio, bilanciamento del carico o qualsiasi altro motivo che potrebbero aver avuto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *