Tijdens het zoeken op Google vond ik een website die de ene set inhoud toont aan de Google Bot en een andere aan gebruikers (door om te leiden naar een nieuw domein), en ook een zeer verdacht Javascript-bestand. Misschien is het een trackingcookie of een virus / malware, ik weet het niet, dus ik vraag hier of iemand kan helpen bij het uitleggen van de code?
Als de site “veilig” is, waarom leidt deze dan een zoekmachine naar een normale website en gebruikers naar een lege pagina door dit .js-bestand te laden? Waarom zou het een getpassword.asp moeten hebben gehost op het tweede omgeleide domein (van sucuri scan)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0);
Reacties
- Als dit soort dingen je stoort, gebruik dan een browserplug-in of extensie die trackingwebsites van derden blokkeert. U ‘ ontneemt de website echter inkomsten.
Antwoord
Laten we dit opruimen en nader bekijken. Ik heb ook enkele HTML-entiteiten vervangen door hun tekstequivalent:
Voeg een gelinkte afbeelding toe aan de pagina, Chinese karakters zijn gecodeerd, maar dat doe ik niet “denk niet dat dit verdacht is:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n");
Initialiseer een aantal variabelen, meestal met attributen over de browser en pagina, zoals de HTTP-verwijzer en de huidige URL , datum, browserresolutie, etc.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try {
Lijkt te zoeken naar bestaande cookies die door deze applicatie zijn ingesteld om bij te houden hoeveel paginas er zijn is bezocht. Deze waarde wordt verhoogd en opgeslagen in een cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();
Het lijkt in feite te proberen vast te leggen hoeveel verschillende paginas u heeft bekeken. Opnieuw gebruikt het een cookie om te onthouden of u “al bent geweest.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();
Diverse dingen, waarschijnlijk alleen om tegemoet te komen aan verschillende browsermogelijkheden en instellingen, zoals cookies worden uitgeschakeld.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; }
Schrijf al deze informatie als GET-parameters in het bronkenmerk van een afbeelding. Uw browser laadt dit en hun server kan de gegevens opnemen .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0);
In feite volgt het je, inclusief de pagina die je bekijkt, hoe vaak je de site hebt bekeken, hoeveel paginas je hebt bekeken. hebben bekeken, wat de resolutie van uw browser is, enz.
Dit kan schadelijk zijn, afhankelijk van de omstandigheden, hoewel de meeste websites een vorm van tracking uitvoeren, zoals Google Analytics. Het vormt een bedreiging voor de integriteit van uw computer als iemand die de site bekijkt, maar het kan een bedreiging vormen voor uw privacy.
Door de vreemde namen van variabelen lijkt het wel verdoezeld malware, maar ik vermoed dat dit is om conflicten met de naamgeving van variabelen met ander JavaScript te voorkomen.
Opmerkingen
- Dit is een concurrent van Google Analytics met de naam ” 51.la “. De hier bijgehouden site is ” promgirl.de “. Op de Chinese versie van deze site hebben ze ‘ waarschijnlijk dezelfde discussie over het verdacht uitziende ” i, s, o, g, r, a, m ” volgsysteem. 🙂
- Merk op dat hoewel dit script zelf onschadelijk is, 51.la-trackers vaak worden gebruikt bij Chinese malware-exploits. Als ik het zou zien op een site die niet op een andere manier met China is verbonden, zou ik de aanwezigheid van een 51-script als een rode vlag beschouwen voor een waarschijnlijke compromis.
Antwoord
Nee, het ziet er niet uit als een virus, maar zeker als een poging om uw bezoeken op verschillende sites bij te houden.
In feite verzamelt het een heleboel informatie over uw browser , enkele cookies en welke pagina u vandaan komt, en plaatst al deze als parameters in de URL van een afbeelding die van een server wordt geladen. Die server kan deze informatie van uw bezoeken aan deze en andere sites met dezelfde code vervolgens samenvoegen tot een gebruikersprofiel, dat waarschijnlijk zal worden gebruikt om u gerichte advertenties te tonen.
Antwoord
Dus dit verscheen op een site die ik voor iemand had gebouwd. Dit is wat ik symptomatisch kan zien (ik ben geen programmeur).
Deze software wordt specifiek op sites geïnstalleerd om de Google Spider-bot om te leiden om een hoop inhoud op te halen die niet daadwerkelijk op de beoogde site staat . Tijdens het spelen zult u het verkeer naar de website aanzienlijk zien toenemen, maar er zijn geen daadwerkelijke voordelen te zien. Wat deze jongens doen, is Google vertellen dat er veel meer inhoud op een website staat dan in werkelijkheid is. Wanneer iemand op een van deze neplinks van een Google-zoekopdracht klikt, wordt hij omgeleid naar een pagina die goederen op legitieme sites verkoopt.
Wat er gebeurt, is dat deze jongens zijn aangesloten bij de sites die de goederen en ze krijgen commissies van elke online verkoop.
Het zijn parasieten die duizenden sites van andere mensen uitbuiten om geld voor zichzelf te verdienen.
Antwoord
Ik werd geconfronteerd met dezelfde waarschuwingen in onze omgeving, dus ik was benieuwd wat dit verkeer genereert. Als je erover nadenkt, moet er malware in je browser zijn geïnstalleerd als plug-in of iets dergelijks, omdat ik de zoekresultaten van Google duidelijk kan zien met deze URL.
Voorbeeld:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602
Als je naar de pagina http://www.qupingche.com/comment/show/103
gaat, is het een Chinese website waarvan ik 100% zeker weet dat je die niet hebt bezocht. Op zijn pagina, kun je de web51.la
dingen in dit script zien:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script>
En als je de variabele van JavaScript, het verhoogt de gevraagde locatie elke 10 seconden met één.
Dit is wat ik zag:
js.users.51.la/15942596.js
En dit is de laatste met dezelfde inhoud:
js.users.51.la/15994950.js
Dus als je dit verzoek van je cliënt ziet, dan moet er wat malware zijn die dit verzoek op je computer genereert !
Reacties
- Zoals vermeld in de onderstaande antwoorden, biedt dit script een trackingmechanisme voor website-eigenaren. Het is niet afhankelijk van een plug-in die door gebruikers is geïnstalleerd. Het lijkt onschuldig, maar mogelijk een bedreiging voor de privacy, op precies dezelfde manier als Google Analytics.
- Waarom zou u 100% zeker weten welke sites andere mensen hebben bezocht?
- Er is ‘ s absoluut geen behoefte aan iets aan de kant van de client om deze unieke verzoeken te genereren. Ik zie ook geen bewijs dat ‘ s plaatsvindt. Daders hadden een webserver kunnen opzetten die elk
.js
verzoek accepteert (of een waarbij de bestandsnaam een getal is, relatief eenvoudig te doen met bijvoorbeeld RewriteCond en RegEx op Apache) en verwijst naar een enkel bestand op de server. Met de unieke naam gegenereerd aan de serverzijde voor elk verzoek, zodat het ‘ niet eenvoudigweg geblokkeerd kan worden door zijn naam, om als een eenvoudige teller te dienen, verzoek obfuscation, tracking, load balancing of enige andere reden die ze hebben gehad.