Vad gör den här javascriptfilen? Är detta ett virus?

Under sökningen på Google hittade jag en webbplats som visar en uppsättning innehåll till Google Bot och en annan till användare (genom att omdirigera till en ny domän), och också en mycket misstänkt Javascript-fil. Kanske är det en spårningskaka eller ett virus / skadlig kod, jag vet inte, så jag frågar här om någon kan hjälpa till att förklara koden?

Om webbplatsen är ”säker” varför omdirigerar den en sökmotor till en vanlig webbplats och användare till en tom sida genom att ladda den här .js-filen? Varför ska det ha ett getpassword.asp värd för den andra omdirigerade domänen (från sucuri-skanning)?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Kommentarer

  • Om den här typen av saker stör dig, använd ett webbläsarpluggin eller tillägg som blockerar spårningswebbplatser från tredje part. Du ’ kommer dock att beröva webbplatsens intäkter.

Svar

Låt oss städa upp detta och titta närmare på det, jag har också ersatt vissa HTML-enheter med deras textekvivalenter:

Lägg till en länkad bild på sidan, kinesiska tecken kodades men jag vet inte ”t tycker att detta är misstänkt:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Initiera ett gäng variabler, mestadels med attribut om webbläsaren och sidan, till exempel HTTP-hänvisaren och den aktuella webbadressen , datum, webbläsares upplösning osv.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Verkar leta efter eventuella befintliga kakor som ställts in av denna applikation för att hålla en räkning av hur många sidor som har har besökt. Detta värde ökas och lagras i en cookie.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

Det verkar i princip försöka spela in hur många olika sidor du har sett. Återigen använder den en cookie för att komma ihåg om du redan har besökt.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Diverse saker, förmodligen bara för att tillgodose olika webbläsares funktioner och inställningar, t.ex. kakor inaktiveras.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Skriv all denna information som GET-parametrar i källattributet för en bild. Din webbläsare laddar detta så kan deras server spela in data .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

I grund och botten spårar det dig, inklusive sidan du tittar på, hur många gånger du har sett webbplatsen, hur många sidor du har har sett vad din webbläsares upplösning är etc.

Detta kan vara skadligt beroende på omständigheterna, även om de flesta webbplatser kör spårning av någon form som Google Analytics. Det gör det inte ” t utgör ett hot mot maskinens integritet som någon som tittar på webbplatsen, men det kan vara ett hot mot din integritet.

De udda variabelnamnen gör att det verkar som fördunklad skadlig kod, men jag misstänker att detta är för att undvika variabla namngivningskonflikter med annan JavaScript.

Kommentarer

  • Detta är en Google Analytics-konkurrent som heter ” 51.la ”. Webbplatsen som spåras här är ” promgirl.de ”. På den kinesiska versionen av denna webbplats har de ’ förmodligen samma diskussion om det misstänkta ” i, s, o, g, r, a, m ” spårningssystem. 🙂
  • Observera att även om detta skript i sig är ofarligt, används 51.la-spårare ofta i kinesiska skadliga program. Om jag ser det på en webbplats som inte annars är kopplad till Kina, skulle jag ta ett 51-skript som en röd flagga för sannolik kompromiss.

Svar

Nej, det ser inte ut som ett virus, men definitivt som ett försök att spåra dina besök på olika webbplatser.

I grund och botten samlar det en massa information om din webbläsare , några kakor och vilken sida du kommer från och lägger alla dessa som parametrar i webbadressen till en bild som den laddar från en server. Den servern kan sedan samla denna information från dina besök på denna och andra webbplatser med samma kod i en användarprofil, som troligen kommer att användas för att visa dig riktad annonsering.

Svar

Så detta visade sig på en webbplats som jag hade byggt för någon. Här är vad jag kan se symptomatiskt (jag är inte programmerare).

Denna programvara är installerad på webbplatser specifikt för att omdirigera google spider bot för att plocka upp massor av innehåll som inte finns på den riktade webbplatsen . När du spelar kommer du att se trafiken till webbplatsen öka avsevärt, men det finns inga faktiska fördelar att se. Vad de här killarna gör är att berätta för google att det finns mycket mer innehåll på en webbplats än vad det egentligen är. När någon klickar på en av dessa falska länkar från en google-sökning omdirigeras de till en sida som säljer varor på legitima webbplatser.

Vad som händer är att dessa killar är anslutna till webbplatserna som säljer varor och de får provision från varje onlineförsäljning.

De är parasiter som utnyttjar tusentals andra människors webbplatser för att tjäna pengar för sig själva.

Svar

Jag stod inför samma varningar i vår miljö, så jag var nyfiken på vad som genererar denna trafik. När du tänker på det måste det finnas någon skadlig kod i din webbläsare som ett plugin eller liknande, för jag kan tydligt se Googles sökresultat med den här webbadressen.

Exempel:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

När du går till sidan http://www.qupingche.com/comment/show/103 är det en kinesisk webbplats som jag är 100% säker på att du inte besökte. På dess sida kan du se web51.la grejer i detta skript:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

Och när du kontrollerar variabeln för JavaScript, det ökar efterfrågad plats med en var tionde sekund.

Det här är vad jag såg:

js.users.51.la/15942596.js 

Och detta är den senaste med samma innehåll:

js.users.51.la/15994950.js 

Så när du ser denna begäran från din klient, måste det finnas någon skadlig kod som genererar denna begäran på din dator !

Kommentarer

  • Som nämnts i svaren nedan tillhandahåller detta skript en spårningsmekanism för webbplatsägare. Det är inte beroende av ett plugin installerat av användarna. Det verkar vara oskyldigt, men möjligen ett hot mot integriteten – på exakt samma sätt som Google Analytics är.
  • Varför skulle du vara 100% säker på vilka webbplatser andra har besökt?
  • Det finns ’ absolut inget behov av något i klientänden för att generera dessa unika förfrågningar. Jag ser heller inga bevis för att ’ äger rum. Förövarna kunde ha skapat en webbserver som tar alla .js -förfrågningar (eller en där filnamn är ett nummer, relativt lätt att göra med, säg, RewriteCond och RegEx on Apache) och omdirigerar till en enda fil på servern. Med det unika namnet som genereras på serversidan för varje begäran så kan det ’ helt enkelt blockeras av dess namn, för att fungera som en enkel räknare, begär förvirring, spårning, belastningsutjämning eller någon annan anledning som de kan ha haft.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *