Mientras buscaba en Google, encontré un sitio web que muestra un conjunto de contenido al Google Bot y otro a los usuarios (redireccionando a un nuevo dominio), y también un archivo Javascript muy sospechoso. Tal vez sea una cookie de seguimiento o un virus / malware, no lo sé, así que pregunto si alguien puede ayudarme a explicar el código.
Si el sitio es «seguro», ¿por qué redirige un motor de búsqueda a un sitio web normal y los usuarios a una página en blanco al cargar este archivo .js? ¿Por qué debería tener un getpassword.asp alojado en el segundo dominio redirigido (de sucuri scan)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0);
Comentarios
- Si este tipo de cosas le molesta, utilice un complemento o extensión de navegador que bloquee los sitios web de seguimiento de terceros. Sin embargo, ‘ privará al sitio web de ingresos.
Respuesta
Limpiemos esto y veámoslo más de cerca, también reemplacé algunas entidades HTML con su equivalente de texto:
Agregue una imagen vinculada a la página, los caracteres chinos estaban codificados pero no «No creo que esto sea sospechoso:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n");
Inicialice un montón de variables, principalmente con atributos sobre el navegador y la página, como la referencia HTTP y la URL actual. , fecha, resolución del navegador, etc.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try {
Parece estar buscando las cookies existentes establecidas por esta aplicación para llevar un recuento de cuántas páginas tienen Este valor se incrementa y se almacena en una cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();
Básicamente, parece estar tratando de registrar cuántas páginas distintas ha visto. Nuevamente, usa una cookie para ayudar a recordar si ya lo ha visitado.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();
Cosas varias, probablemente solo para atender las diferentes capacidades y configuraciones del navegador, como las cookies están deshabilitadas.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; }
Escriba toda esta información como parámetros GET en el atributo de origen de una imagen. Su navegador cargará esto y su servidor podrá registrar los datos. .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0);
Básicamente, se trata de rastrearlo, incluida la página que está viendo, cuántas veces «ha visitado el sitio, cuántas páginas» que ha visto, cuál es la resolución de su navegador, etc.
Esto podría ser malicioso dependiendo de las circunstancias, aunque la mayoría de los sitios web ejecutan el seguimiento de alguna forma, como Google Analytics. No t representa una amenaza para la integridad de su máquina como alguien que visita el sitio, pero podría ser una amenaza para su privacidad.
Los nombres de variables extraños hacen que parezca un malware ofuscado, pero sospecho que esto es para evitar conflictos de nombres de variables con otros JavaScript.
Comentarios
- Este es un competidor de Google Analytics llamado » 51.la «. El sitio rastreado aquí es » promgirl.de «. En la versión china de este sitio, ‘ probablemente estén teniendo la misma conversación sobre el » i, s, o, de aspecto sospechoso g, r, a, m » sistema de seguimiento. 🙂
- Tenga en cuenta que aunque este script es inofensivo en sí mismo, los rastreadores 51.la se utilizan con mucha frecuencia en las vulnerabilidades de malware chino. Si se ve en un sitio que no está conectado de otra manera a China, tomaría la presencia de un script 51 como una señal de alerta para un posible compromiso.
Respuesta
No, no parece un virus, pero definitivamente es un intento de rastrear sus visitas en diferentes sitios.
Básicamente, recopila mucha información sobre su navegador , algunas cookies y de qué página vienes, y coloca todos estos como parámetros en la URL de una imagen que carga desde un servidor. Ese servidor puede agregar esta información de sus visitas a este y otros sitios con el mismo código en un perfil de usuario, que probablemente se utilizará para mostrarle publicidad dirigida.
Respuesta
Así que esto apareció en un sitio que había creado para alguien. Esto es lo que puedo ver sintomáticamente (no soy un programador).
Este software se instala en sitios específicamente para redirigir el robot araña de Google para que recoja una tonelada de contenido que en realidad no está en el sitio de destino . Cuando esté en juego, verá que el tráfico al sitio web aumenta significativamente, pero no se ven beneficios reales. Lo que están haciendo estos chicos es decirle a Google que hay mucho más contenido en un sitio web de lo que realmente es. Cuando alguien hace clic en uno de estos enlaces falsos desde una búsqueda de Google, se le redirige a una página que vende productos en sitios legítimos.
Lo que está sucediendo es que estos tipos son afiliados de los sitios que venden el bienes y obtienen comisiones de cada venta en línea.
Son parásitos que explotan los sitios de miles de personas para ganar dinero.
Respuesta
Me enfrentaba a las mismas alertas en nuestro entorno, así que tenía curiosidad por saber qué está generando este tráfico. Cuando lo piensa, es necesario que haya algún malware instalado en su navegador como complemento o similar, porque puedo ver claramente los resultados de búsqueda de Google con esta URL.
Ejemplo:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602
Cuando accede a la página http://www.qupingche.com/comment/show/103
, es un sitio web chino que estoy 100% seguro de que no visitó. El su página, puede ver el web51.la
cosas en este script:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script>
Y cuando verifica la variable de JavaScript, está incrementando la ubicación solicitada en uno cada 10 segundos.
Esto es lo que vi:
js.users.51.la/15942596.js
Y esto es el último con el mismo contenido:
js.users.51.la/15994950.js
Entonces, cuando vea esta solicitud de su cliente, entonces debe haber algún malware generando esta solicitud en su computadora !
.js
(o una donde el nombre de archivo es un número, relativamente fácil de hacer con, digamos, RewriteCond y RegEx en Apache) y redirige a un solo archivo en el servidor. Con el nombre único generado en el lado del servidor para cada solicitud, por lo que no puede ‘ ser simplemente bloqueado por su nombre, para que sirva como un simple contador, solicitud ofuscación, seguimiento, equilibrio de carga o cualquier otra razón que pudieran haber tenido.