이 자바 스크립트 파일의 기능은 무엇입니까? 이것은 바이러스입니까?

Google에서 검색하는 동안 한 세트의 콘텐츠를 Google Bot에, 다른 하나는 사용자에게 (새 도메인으로 리디렉션하여) 보여주는 웹 사이트를 찾았습니다. 또한 매우 의심스러운 자바 스크립트 파일입니다. “추적 쿠키 또는 바이러스 / 악성 프로그램 일 수 있습니다. 모르겠습니다. 코드 설명을 도와 줄 사람이 있는지 여기에서 묻습니다.”

사이트가 “안전”한 경우 사이트가 이 .js 파일을로드하여 일반 웹 사이트에 검색 엔진을 추가하고 빈 페이지에 사용자를 추가 하시겠습니까? 두 번째 리디렉션 된 도메인 (sucuri 스캔에서)에서 호스팅되는 getpassword.asp가 있어야하는 이유는 무엇입니까?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

댓글

  • 이런 문제가 발생하면 타사 추적 웹 사이트를 차단하는 브라우저 플러그인 또는 확장 프로그램을 사용하세요. 하지만 ' 웹 사이트 수익을 박탈하게됩니다.

답변

이것을 정리하고 좀 더 자세히 살펴 보겠습니다. 또한 일부 HTML 엔티티를 해당하는 텍스트로 대체했습니다.

페이지에 링크 된 이미지 추가, 한자는 인코딩되었지만 “의심스럽지 않다고 생각하지 마세요.

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

대부분 HTTP 리퍼러 및 현재 URL과 같은 브라우저 및 페이지에 대한 속성을 사용하여 여러 변수를 초기화합니다. , 날짜, 브라우저 해상도 등.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

페이지 수를 유지하기 위해이 애플리케이션에서 설정 한 기존 쿠키를 찾는 것으로 보입니다. 이 값은 증분되어 쿠키에 저장됩니다.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

기본적으로 귀하가 본 개별 페이지 수를 기록하려는 것 같습니다. 다시 한 번 쿠키를 사용하여 사용자가 이미 방문했는지 기억합니다.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

기타 항목, 아마도 다음과 같은 다른 브라우저 기능 및 설정을 충족시키기위한 것일 수 있습니다. 쿠키가 비활성화됩니다.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

이 모든 정보를 이미지의 소스 속성에 GET 매개 변수로 작성하세요. 브라우저가이를로드하면 서버에서 데이터를 기록 할 수 있습니다. .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

기본적으로보고있는 페이지, 사이트를 본 횟수, 페이지 수를 포함하여 사용자를 추적합니다. 대부분의 웹 사이트에서 Google 웹 로그 분석과 같은 특정 형태의 추적을 실행하지만 상황에 따라 악의적 일 수 있습니다 .

사이트를 보는 사람으로서 컴퓨터의 무결성에 위협이되지만 개인 정보에 위협이 될 수 있습니다.

이상한 변수 이름으로 인해 난독 화 된 멀웨어처럼 보이지만 다른 JavaScript와 변수 이름 지정 충돌을 피하기위한 것 같습니다.

댓글

  • " 51.la "라는 Google 웹 로그 분석 경쟁 업체입니다. 여기에서 추적되는 사이트는 " promgirl.de "입니다. 이 사이트의 중국어 버전에서는 ' 아마도 의심스러워 보이는 " i, s, o, g, r, a, m " 추적 시스템. 🙂
  • 이 스크립트 자체는 무해하지만 51.la 추적기는 중국 악성 코드 공격에 자주 사용됩니다. 중국과 달리 연결되지 않은 사이트에서 발견되는 경우 51 스크립트의 존재를 위험 가능성에 대한 위험 신호로 간주합니다.

Answer

아니요. 바이러스처럼 보이지는 않지만 여러 사이트에서 사용자의 방문을 추적하려는 시도와 같습니다.

기본적으로 브라우저에 대한 많은 정보를 수집합니다. , 일부 쿠키 및 귀하가 어떤 페이지에서 왔는지, 그리고이 모든 것을 서버에서로드하는 이미지의 URL에 매개 변수로 넣습니다. 그러면 해당 서버는 동일한 코드를 사용하여이 사이트와 다른 사이트에 대한 방문에서 얻은 정보를 사용자 프로필로 집계 할 수 있으며, 이는 아마도 타겟 광고를 표시하는 데 사용될 것입니다.

답변

그래서 이것은 제가 누군가를 위해 만든 사이트에 나타났습니다. 다음은 증상에 따라 볼 수있는 것입니다 (저는 프로그래머가 아닙니다).

이 소프트웨어는 특히 Google 스파이더 봇을 리디렉션하여 대상 사이트에 실제로 있지 않은 수많은 콘텐츠를 선택하도록 사이트에 설치됩니다. . 플레이 할 때 웹 사이트 트래픽이 크게 증가하는 것을 볼 수 있지만 실제로 볼 수있는 이점은 없습니다. 이 사람들이하는 일은 웹 사이트에 실제보다 더 많은 콘텐츠가 있다고 구글에 말하는 것입니다. 누군가가 Google 검색에서 이러한 가짜 링크 중 하나를 클릭하면 합법적 인 사이트에서 상품을 판매하는 페이지로 리디렉션됩니다.

발생한 일은이 사람들이 해당 사이트를 판매하는 사이트의 제휴사라는 것입니다. 온라인 판매에서 수수료를 받고 있습니다.

그들은 자신을 위해 돈을 벌기 위해 수천 명의 다른 사람들의 사이트를 착취하는 기생충입니다.

답변

우리 환경에서 동일한 경고에 직면했기 때문에이 트래픽을 생성하는 원인이 궁금했습니다. 생각해 보면이 URL로 Google 검색 결과를 명확하게 볼 수 있기 때문에 브라우저에 플러그인 등으로 설치된 맬웨어가 있어야합니다.

예 :

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

http://www.qupingche.com/comment/show/103 페이지로 이동하면 “당신이 방문하지 않았다고 100 % 확신하는 중국 웹 사이트입니다. 페이지에서이 스크립트에서 web51.la 항목을 볼 수 있습니다.

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

그리고 다음의 변수를 확인할 때 자바 스크립트는 요청 된 위치를 10 초마다 하나씩 증가시킵니다.

내가 본 것입니다.

js.users.51.la/15942596.js 

그리고 이것은 동일한 콘텐츠의 최신 항목 :

js.users.51.la/15994950.js 

따라서 클라이언트에서이 요청을 볼 때 컴퓨터에이 요청을 생성하는 맬웨어가 있어야합니다. !

댓글

  • 아래 답변에서 언급했듯이이 스크립트는 웹 사이트 소유자를위한 추적 메커니즘을 제공합니다. 사용자가 설치 한 플러그인에 의존하지 않습니다. Google 웹 로그 분석과 똑같은 방식으로 개인 정보 보호에 위협이 될 수 있지만 무해한 것 같습니다.
  • 다른 사람들이 어떤 사이트를 방문했는지 100 % 확신하는 이유는 무엇입니까?
  • ' 이러한 고유 한 요청을 생성하기 위해 클라이언트 측에 무언가가 전혀 필요하지 않습니다. 또한 '이 발생하고 있다는 증거도 없습니다. 가해자는 모든 .js 요청 (또는 파일 이름이 숫자 인 웹 서버, 예를 들어 RewriteCond 및 Apache의 RegEx) 및 서버의 단일 파일로 리디렉션합니다. 각 요청에 대해 서버 측에서 생성 된 고유 이름 을 사용하여 ' 이름으로 단순히 차단되지 않고 간단한 카운터 역할을 할 수 있습니다. 난독 화, 추적, 부하 분산 또는 기타 원인이있을 수 있습니다.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다