Mens jeg søkte på Google, fant jeg et nettsted som viser ett sett med innhold til Google Bot og et annet til brukere (ved å omdirigere til et nytt domene), og også en veldig mistenkelig Javascript-fil. Kanskje det er en sporingskake eller et virus / skadelig programvare, jeg vet ikke det, så jeg spør her om noen kan hjelpe til med å forklare koden?
Hvis nettstedet er «trygt», hvorfor omdirigerer det en søkemotor til et vanlig nettsted, og brukere til en tom side ved å laste denne .js-filen? Hvorfor skal det ha et getpassword.asp vert på det andre omdirigerte domenet (fra sucuri scan)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); Kommentarer
- Hvis denne typen ting plager deg, bruk et nettleserprogramtillegg eller utvidelse som blokkerer tredjeparts sporingsnettsteder. Du ‘ vil frata nettstedet inntektene.
Svar
La oss rydde opp i dette og se nærmere på det. Jeg har også erstattet noen HTML-enheter med deres tekstekvivalenter:
Legg til et lenket bilde på siden, kinesiske tegn ble kodet, men jeg vet ikke «t synes dette er mistenkelig:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); Initialiser en haug med variabler, for det meste med attributter om nettleseren og siden, for eksempel HTTP-henviseren og gjeldende URL , dato, nettleseroppløsning osv.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { Ser ut til å være på utkikk etter eksisterende informasjonskapsler satt av dette programmet for å kunne telle hvor mange sider som har har blitt besøkt. Denne verdien økes og lagres i en informasjonskapsel.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); Det ser i utgangspunktet ut til å prøve å registrere hvor mange forskjellige sider du har sett på. Igjen bruker den en informasjonskapsel for å huske om du allerede har besøkt.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); Diverse ting, sannsynligvis bare for å imøtekomme forskjellige nettlesermuligheter og innstillinger, for eksempel informasjonskapsler blir deaktivert.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } Skriv all denne informasjonen som GET-parametere i kildeattributtet til et bilde. Nettleseren din vil laste denne inn, så kan serveren registrere dataene .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); I utgangspunktet sporer det deg, inkludert siden du ser på, hvor mange ganger du har sett på siden, hvor mange sider du har har sett, hva nettleseroppløsningen din er osv.
Denne kan være skadelig avhengig av omstendighetene, selv om de fleste nettsteder kjører sporing av noen form, for eksempel Google Analytics. Det » ikke utgjøre en trussel mot maskinens integritet som noen som ser på nettstedet, men det kan være en trussel mot personvernet ditt.
De merkelige variabelnavnene gjør at det virker som tilslørt skadelig programvare, men jeg mistenker at dette er for å unngå variabel navngivningskonflikter med annen JavaScript.
Kommentarer
- Dette er en Google Analytics-konkurrent kalt » 51.la «. Nettstedet som spores her er » promgirl.de «. På den kinesiske versjonen av dette nettstedet har de ‘ sannsynligvis den samme diskusjonen om det mistenkelige » i, s, o, g, r, a, m » sporingssystem. 🙂
- Merk at selv om dette skriptet i seg selv er ufarlig, blir 51.la-trackere ofte brukt i kinesisk malwareutnyttelse. Hvis jeg ser på et nettsted som ellers ikke er knyttet til Kina, vil jeg ta tilstedeværelsen av et 51-skript som et rødt flagg for sannsynlig kompromiss.
Svar
Nei, det ser ikke ut som et virus, men definitivt som et forsøk på å spore besøkene dine på forskjellige nettsteder.
I utgangspunktet samler det en mengde informasjon om nettleseren din , noen informasjonskapsler og hvilken side du kommer fra, og plasserer alle disse som parametere i URL-en til et bilde den lastes fra en server. Denne serveren kan deretter samle denne informasjonen fra besøkene dine på denne og andre nettsteder med samme kode i en brukerprofil, som sannsynligvis vil bli brukt til å vise deg målrettet annonsering.
Svar
Så dette dukket opp på et nettsted som jeg hadde bygget for noen. Her er hva jeg kan se symptomatisk (jeg er ikke programmerer).
Denne programvaren er installert på nettsteder spesielt for å omdirigere google spider bot for å plukke opp massevis av innhold som ikke er på det målrettede nettstedet. . Når du er i spill, vil du se at trafikken til nettstedet øker betydelig, men det er ingen faktiske fordeler å se. Det disse gutta gjør, er å fortelle google at det er mye mer innhold på et nettsted enn det faktisk er. Når noen klikker på en av disse falske koblingene fra et google-søk, blir de omdirigert til en side som selger varer på legitime nettsteder.
Det som skjer er at disse karene er tilknyttet nettstedene som selger varer, og de får provisjon fra hvert onlinesalg.
De er parasitter som utnytter tusenvis av andre folks nettsteder for å tjene penger for seg selv.
Svar
Jeg ble møtt med de samme varslene i miljøet vårt, så jeg var nysgjerrig på hva som genererer denne trafikken. Når du tenker på det, må det installeres skadelig programvare i nettleseren din som et plugin eller lignende, fordi jeg tydelig kan se Googles søkeresultater med denne nettadressen.
Eksempel:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 Når du går til siden http://www.qupingche.com/comment/show/103, er det et kinesisk nettsted som jeg er 100% sikker på at du ikke besøkte. siden sin, kan du se web51.la ting i dette skriptet:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> Og når du sjekker variabelen til JavaScript, det øker ønsket plassering med ett hvert 10. sekund.
Dette er hva jeg så:
js.users.51.la/15942596.js Og dette er den siste med samme innhold:
js.users.51.la/15994950.js Så når du ser denne forespørselen fra klienten din, må det være noe skadelig programvare som genererer denne forespørselen på datamaskinen din !
.jsforespørsel (eller en der filnavnet er et tall, relativt enkelt å gjøre med, si, RewriteCond og RegEx on Apache) og omdirigerer til en enkelt fil på serveren. Med det unike navnet generert på serversiden for hver forespørsel, slik at det kan ‘ ikke bare blokkeres av navnet, for å tjene som en enkel teller, be om forvirring, sporing, lastbalansering eller annen grunn de måtte ha hatt.