Daniro_San
@Daniro_San
Программист

Что делает этот скрипт?

То что я сейчас расскажу похоже прозвучит как бред -- но всё именно так и было, и ко мне в голову уже начинает лезть разная параноидальная дичь.
Я открыл загруженный с официального сайта Tor Browser и сразу вбил в адресную строку свой сайтик на Git Pages.
К моему удивлению вместо него начал открываться этот адрес:
https://s.click.taobao.com/t_js?tu=https%3A%2F%2Fs...

Я в ужасе быстро остановил загрузку и скопировал исходный код этой страницы (прогрузится она не успела белый экран):
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta content="always" name="referrer">
</head>
<body>
<script type='text/javascript'>
function htmlspecialchars(str){  
    str = str.replace(/</g, '&lt;');
    str = str.replace(/>/g, '&gt;');
    str = str.replace(/"/g, '&quot;');
    str = str.replace(/'/g, '&#039;');
    return str;
}

function bol(){
    if (top.location != self.location) {
        return false;
    }
    var schema = (("https:" == document.location.protocol) ? "https" : "http");
    var qs = location.search.split("?")[location.search.split("?").length-1].split("&");
    qso = {};
    for (var i=0; i<qs.length; i++){
        if (qs[i]!="") {
            var tmpa = qs[i].split("=");
            qso[tmpa[0]] = tmpa[1] ? tmpa[1] : "";
        }
    }
    
    if(!qso.tu){
        exit;
    } 
    
    var jump_url;
    if (qso.tu.indexOf("https") === 0){
        jump_url = qso.tu.substr(5);
    } else if(qso.tu.indexOf("http") === 0){
        jump_url = qso.tu.substr(4);
    }else{
        exit;
    }
    
    var jump_address = schema+jump_url;

    var real_jump_address = unescape(jump_address);
    if (htmlspecialchars(real_jump_address).length != real_jump_address.length) {
        exit;
    }
   
    if (jump_url.indexOf("%3A%2F%2Fs.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fi.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fglobal.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fs.click.alimama.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fitem8.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fshop8.taobao.com%2F")===0
    ) {
        if (!window.attachEvent) {
            document.write('<input style="display:none" type="button" id="exe" value="" onclick="window.location=\'' + real_jump_address + '\'">');
            document.getElementById('exe').click();
        } else {
            document.write('<a style="display:none" href="' + real_jump_address + '" id="exe"></a>');
            document.getElementById('exe').click();
        }
    }
}//end of bol()
bol();
</script>
</body>
</html>

Вопрос, как такое может быть, и что делает этот код?
  • Вопрос задан
  • 302 просмотра
Пригласить эксперта
Ответы на вопрос 1
AxianLTD
@AxianLTD
Судя по всему либо Tor Broswer ужу заражен, либо ваш компьютер. Скритп пытается скачать и запустить какой-то файл.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы