În timp ce căutam pe Google, am găsit un site web care arată un set de conținut către Google Bot și un altul către utilizatori (prin redirecționarea către un domeniu nou), și, de asemenea, un fișier Javascript foarte suspect. Poate că este un cookie de urmărire sau un virus / malware, nu știu, așa că întreb aici dacă cineva poate ajuta la explicarea codului?
Dacă site-ul este „sigur” de ce redirecționează un motorul de căutare către un site web normal și utilizatorii către o pagină goală încărcând acest fișier .js? De ce ar trebui să aibă un getpassword.asp găzduit pe al doilea domeniu redirecționat (din scanarea sucuri)?
document.write ("<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0);
Comentarii
- Dacă acest lucru vă deranjează, utilizați un plugin sau o extensie de browser care blochează site-urile de urmărire ale unor terțe părți. Totuși, ‘ veți priva site-ul web de venituri.
Răspundeți
Să curățăm acest lucru și să-l privim mai atent, am înlocuit și unele entități HTML cu textul lor echivalent:
Adăugați o imagine legată la pagină, caracterele chineze au fost codificate, dar nu „nu cred că acest lucru este suspect:
document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n");
Inițializați o grămadă de variabile, în principal cu atribute despre browser și pagină, cum ar fi referentul HTTP și adresa URL curentă , data, rezoluția browserului etc.
var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try {
Se pare că este în căutarea oricăror cookie-uri existente setate de această aplicație pentru a ține cont de câte pagini au a fost vizitată. Această valoare este incrementată și stocată într-un cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();
Practic se pare că încearcă să înregistreze câte pagini distincte ați vizionat. Din nou, folosește un cookie pentru a vă aminti dacă „ați vizitat deja.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();
Diverse lucruri, probabil doar pentru a satisface diferite funcții și setări ale browserului, cum ar fi cookie-urile sunt dezactivate.
} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; }
Scrieți toate aceste informații ca parametri GET în atributul sursă al unei imagini. Browserul dvs. va încărca acest lucru, apoi serverul lor poate înregistra datele .
a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0);
Practic vă urmărește, inclusiv pagina pe care o vizualizați, de câte ori ați vizionat site-ul, câte pagini aveți ” Am văzut, care este rezoluția browserului dvs., etc.
Acest ar putea să fie rău intenționat în funcție de circumstanțe, deși majoritatea site-urilor web urmăresc anumite forme, cum ar fi Google Analytics. Nu reprezentați o amenințare la adresa integrității mașinii dvs. ca cineva care vizionează site-ul, dar poate constitui o amenințare la adresa confidențialității dvs.
Numele ciudate ale variabilelor îl fac să pară malware neclar, dar bănuiesc că acest lucru este pentru a evita conflictele de denumire a variabilelor cu alte JavaScript.
Comentarii
- Acesta este un concurent Google Analytics numit ” 51.la „. Site-ul urmărit aici este ” promgirl.de „. În versiunea chineză a acestui site, ‘ probabil au aceeași discuție despre ” i, s, o, cu aspect suspect g, r, a, m ” sistem de urmărire. 🙂
- Rețineți că, deși acest script este el însuși inofensiv, trackerele 51.la sunt foarte des utilizate în exploatările malware chinezești. Dacă ar fi văzut pe un site care nu ar fi conectat altfel la China, aș lua prezența unui script 51 ca steag roșu pentru un compromis probabil.
Răspuns
Nu, nu arată ca un virus, ci cu siguranță o încercare de a urmări vizitele dvs. pe diferite site-uri.
Practic, colectează o grămadă de informații despre browserul dvs. , unele cookie-uri și de la ce pagină ați venit și pune toate acestea ca parametri în adresa URL a unei imagini pe care o încarcă de pe un server. Serverul respectiv poate apoi să agregeze aceste informații de la vizitele dvs. pe acest site și pe alte site-uri cu același cod într-un profil de utilizator, care va fi probabil folosit pentru a vă afișa publicitate direcționată.
Răspuns
Deci, acest lucru a apărut pe un site pe care l-am construit pentru cineva. Iată ce pot vedea simptomatic (nu sunt programator).
Acest software este instalat pe site-uri special pentru a redirecționa botul Google spider pentru a ridica o tonă de conținut care nu este de fapt pe site-ul vizat. . Când vă aflați în joc, veți vedea că traficul către site crește semnificativ, dar nu există beneficii reale de văzut. Ce fac acești băieți este să-i spună lui Google că există mult mai mult conținut pe un site web decât este de fapt. Când cineva face clic pe unul dintre aceste linkuri false dintr-o căutare pe google, este redirecționat către o pagină care vinde bunuri pe site-uri legitime.
Ce se întâmplă este că acești tipi sunt afiliați site-urilor care vând bunuri și primesc comisioane de la fiecare vânzare online.
Sunt paraziți care exploatează site-urile altor mii de oameni pentru a câștiga bani pentru ei înșiși.
Răspuns
M-am confruntat cu aceleași alerte în mediul nostru, așa că am fost curios ce generează acest trafic. Când vă gândiți la asta, trebuie să existe unele programe malware instalate în browserul dvs. ca plugin sau similar, deoarece pot vedea clar rezultatele căutării Google cu această adresă URL.
Exemplu:
web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602
Când accesați pagina http://www.qupingche.com/comment/show/103
, acesta este un site chinez pe care sunt sigur că nu l-ați vizitat. pagina sa, puteți vedea web51.la
lucrurile din acest script:
<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script>
Și când verificați variabila de JavaScript, incrementează locația solicitată cu una la fiecare 10 secunde.
Iată ce am văzut:
js.users.51.la/15942596.js
Și acesta este cea mai recentă cu același conținut:
js.users.51.la/15994950.js
Deci, atunci când vedeți această solicitare de la clientul dvs., atunci trebuie să existe unele programe malware care să genereze această solicitare pe computerul dvs. !
Comentarii
- După cum se menționează în răspunsurile de mai jos, acest script oferă un mecanism de urmărire pentru proprietarii site-urilor web. Nu se bazează pe un plugin instalat de utilizatori. Se pare că este inocent, deși este o amenințare la adresa confidențialității – exact în același mod în care este Google Analytics.
- De ce ați fi 100% sigur cu privire la ce site-uri au vizitat alte persoane?
- Nu există absolut ‘ absolut nici o nevoie de ceva la capătul clientului pentru a genera aceste cereri unice . De asemenea, nu văd nicio dovadă că ‘ are loc. Autorii ar fi putut configura un server web care acceptă orice cerere
.js
(sau una în care numele fișierului este un număr, relativ ușor de făcut cu, să zicem, RewriteCond și RegEx pe Apache) și redirecționează către un singur fișier de pe server. Cu numele unic generat pe partea de server pentru fiecare cerere, astfel încât să nu poată fi ‘ pur și simplu blocat de numele său, pentru a servi ca un contor simplu, solicitați ofuscare, urmărire, echilibrare a sarcinii sau orice alt motiv pe care l-ar fi putut avea.