4

很长一段时间以来,我的firefox状态栏中不时出现jsev.com、cssxx.com等奇怪的域,我一直想知道为什么这么多网页包含来自这些奇怪域的资源。我用谷歌搜索,但一无所获。我猜这是某种感染服务器并插入代码的病毒。以下是从http://www.eflorenzano.com/threadexample/blog/的页眉中获取的示例:

<script language="javascript" src="http://i.jsev.com./base.2032621946.js"> </script>
<body onmousemove="return fz3824();">
<LINK REL="stylesheet" TYPE="text/css" HREF="http://i.cssxx.com./base2032621947.css">
<A HREF = "http://i.html.com./base2032621947.html"></A>
<SCRIPT LANGUAGE="JAVASCRIPT" SRC="http://i.js.com./base2032621947.js"></SCRIPT>
<SCRIPT LANGUAGE="JAVASCRIPT">
function getuseragnt()
{ var agt = navigator.userAgent.toLowerCase();
  agt = agt.replace(/ /g, "");
  return agt;
}
document.write("<LINK REL='stylesheet' TYPE='text/css' HREF='http://i.css2js.com./base.css" + getuseragnt() + "_2032621947'>") 
</SCRIPT>

编辑:我在一个debian盒子上,只有在firefox上才看到这个代码,我刚试了opera,这个代码没有出现在opera中,真的很奇怪,从来没有听说过firefox有这样的问题。

4

7 回答 7

9

如果您使用的是普林斯顿大学的 CoDeeN 项目代理服务器之一,就会发生这种情况。CoDeeN 是一个学术测试平台内容分发网络。当您使用 CoDeeN 代理浏览网页时,它会向网站的原始 HTML 注入一些 HTML 代码,并将发送到伪地址的请求重定向到项目的服务器。一些伪地址是:http: //i.cssxx.com./base0877861956.css | i.cssxx.com。 http://i.jsev.com./base.0877861955.js | i.jsev.com./ http://i.html.com./base0877861956.html | i.html.com。 http://i.js.com./base0877861956.js | i.js.com./ http://i.css2js.com./base.css | i.css2js.com。

部分或全部 CoDeeN 的代理服务器显示为匿名代理服务器列表。CoDeeN 项目页面:http ://codeen.cs.princeton.edu/

于 2009-03-08T09:29:57.260 回答
2

它可能是您机器上安装的浏览器蠕虫。应该扫描整个系统。

于 2008-10-16T20:38:45.780 回答
2

我看不出那个页面有什么不寻常的地方。检查您的系统。这是我收到的代码:

<head><title>Tutorial 2</title>
<link rel="stylesheet" type="text/css" href="http://yui.yahooapis.com/2.4.1/build/reset/reset-min.css">
<link rel="stylesheet" type="text/css" href="http://media.eflorenzano.com/css/example2.css">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery-1.2.2.min.js"></script>
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery.form.js"></script>

<script type="text/javascript">
    var _POSTER = '';
    var _FORM = '<textarea id="id_comment" rows="10" cols="40" name="comment"></textarea>';
    var _FORM_URL = '/threadexample/threadedcomments/comment/9/1/json/';
    var _REGISTER_URL = '/threadexample/register';
    var _CHECK_EXISTS_URL = '/threadexample/check_exists';
    var _LOGIN_URL = '/threadexample/login';
    var _IS_FOCUSED = null;
    var _ARROW_IMG_BASE = 'http://media.eflorenzano.com/img/arrow_';
    var _VOTE_BASE = '/threadexample/vote/';
</script>

<script type="text/javascript" src="http://media.eflorenzano.com/js/example2.js"></script>
</head>
于 2008-10-16T20:39:43.127 回答
2

DNS中毒?

于 2008-10-16T20:55:54.187 回答
1

我同意 Mediashakers

那是因为您使用的是 CoDeeN 项目代理服务器

尝试不使用代理,它会看到不同

于 2009-12-26T01:00:35.450 回答
0

很可能就是这种情况,因为这确实有点像一些阴暗的代码。如果您使用不同的计算机,源看起来是否相同?

于 2008-10-16T20:40:32.143 回答
0

嗯...这里没有解决方案,但作为一个数据点:它对我来说一点也不像(Firefox 3.0.3,在 Gentoo Linux 中)。我在标题中得到以下有趣的元素:

<link rel="stylesheet" type="text/css" href="http://yui.yahooapis.com/2.4.1/build/reset/reset-min.css">
<link rel="stylesheet" type="text/css" href="http://media.eflorenzano.com/css/example2.css">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery-1.2.2.min.js">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery.form.js">
[...]
<script type="text/javascript" src="http://media.eflorenzano.com/js/example2.js">

这对我来说看起来很干净;四个对同一服务器上资源的引用,加上一个看起来像 Yahoo! 的 CSS。奇怪,我想知道为什么它对你来说看起来如此不同。希望一些真正的网络向导可以对此有所了解。

另外,我注意到所有看起来很奇怪的 URI:s 都有以句点结尾的域名,我认为这甚至是不合法的。我用谷歌搜索,找到了一些旧的 Digg 线程,但无法找到提到奇怪 URI:s 的确切评论。奇怪的。

于 2008-10-16T20:47:22.067 回答