Почему так много веб-страниц содержат такой странный фрагмент кода в заголовке?

Question

Я довольно давно замечал, что странные домены, такие как jsev.com, cssxx.com время от времени появлялись в моей строке состояния Firefox, я всегда удивляюсь, почему так много веб-страниц содержат ресурсы из этих странных доменов. Я гуглил это, но ничего не нашел. Я предполагаю, что это какой-то вирус, который заражает серверы и вставляет код. Вот пример, взятый из заголовка страницы http://www.eflorenzano.com/threadexample/blog/:

<script language="javascript" src="http://i.jsev.com./base.2032621946.js"> </script>
<body onmousemove="return fz3824();">
<LINK REL="stylesheet" TYPE="text/css" HREF="http://i.cssxx.com./base2032621947.css">
<A HREF = "http://i.html.com./base2032621947.html"></A>
<SCRIPT LANGUAGE="JAVASCRIPT" SRC="http://i.js.com./base2032621947.js"></SCRIPT>
<SCRIPT LANGUAGE="JAVASCRIPT">
function getuseragnt()
{ var agt = navigator.userAgent.toLowerCase();
  agt = agt.replace(/ /g, "");
  return agt;
}
document.write("<LINK REL='stylesheet' TYPE='text/css' HREF='http://i.css2js.com./base.css" + getuseragnt() + "_2032621947'>") 
</SCRIPT>

edit: я в Debian Box, только на Firefox. Я вижу этот код, я только что попробовал Opera, этот код не появляется в Opera, действительно странно, я никогда не слышал о Firefox с такими проблемами.

Answer 1

Это происходит, если вы используете один из прокси-серверов проекта Принстонского университета CoDeeN. CoDeeN - академическая сеть распространения контента на испытательном стенде. Когда вы просматриваете веб-страницу с помощью прокси-сервера CoDeeN, она вставляет некоторый HTML-код в исходный HTML-код сайта и перенаправляет запросы, отправленные на псевдо-адреса, на серверы проекта. Некоторые из псевдо-адресов: http://i.cssxx.com./base0877861956.css | i.cssxx.com. http://i.jsev.com./base.0877861955.js | i.jsev.com./ http://i.html.com./base0877861956.html | i.html.com. http://i.js.com./base0877861956.js | i.js.com./ http://i.css2js.com./base.css | i.css2js.com.

Некоторые или все прокси-серверы CoDeeN отображаются в виде списка анонимных прокси-серверов. Страница проекта CoDeeN: http://codeen.cs.princeton.edu/

Answer 2

DNS отравление?

Answer 3

Я не вижу ничего необычного в этой странице. Проверьте свою систему. Вот код, который я получил:

<head><title>Tutorial 2</title>
<link rel="stylesheet" type="text/css" href="http://yui.yahooapis.com/2.4.1/build/reset/reset-min.css">
<link rel="stylesheet" type="text/css" href="http://media.eflorenzano.com/css/example2.css">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery-1.2.2.min.js"></script>
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery.form.js"></script>

<script type="text/javascript">
    var _POSTER = '';
    var _FORM = '<textarea id="id_comment" rows="10" cols="40" name="comment"></textarea>';
    var _FORM_URL = '/threadexample/threadedcomments/comment/9/1/json/';
    var _REGISTER_URL = '/threadexample/register';
    var _CHECK_EXISTS_URL = '/threadexample/check_exists';
    var _LOGIN_URL = '/threadexample/login';
    var _IS_FOCUSED = null;
    var _ARROW_IMG_BASE = 'http://media.eflorenzano.com/img/arrow_';
    var _VOTE_BASE = '/threadexample/vote/';
</script>

<script type="text/javascript" src="http://media.eflorenzano.com/js/example2.js"></script>
</head>

Answer 4

Это может быть червь браузера, установленный на вашем компьютере. Должен сканировать всю систему.

Answer 5

Я согласен с Mediashakers

Поэтому вы используете прокси-серверы проекта CoDeeN

Попробуйте использовать не прокси, он увидит разницу

Answer 6

Хм ... Здесь нет решения, но как точка данных: для меня это совсем не похоже (Firefox 3.0.3, в Gentoo Linux). Я получаю следующие интересные элементы в шапке:

<link rel="stylesheet" type="text/css" href="http://yui.yahooapis.com/2.4.1/build/reset/reset-min.css">
<link rel="stylesheet" type="text/css" href="http://media.eflorenzano.com/css/example2.css">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery-1.2.2.min.js">
<script type="text/javascript" src="http://media.eflorenzano.com/js/jquery.form.js">
[...]
<script type="text/javascript" src="http://media.eflorenzano.com/js/example2.js">

Это выглядит довольно чисто для меня; четыре ссылки на ресурсы на одном сервере, плюс один CSS из того, что выглядит как Yahoo !. Странно, мне интересно, почему это выглядело так по-другому. Надеюсь, какой-нибудь настоящий веб-мастер сможет пролить свет на это.

Кроме того, я замечаю, что все странно выглядящие URI имеют доменные имена, которые заканчиваются в период, который я не считаю даже законным. Я гуглил его и нашел какую-то старую ветку Digg, но не смог найти точный комментарий, в котором упоминались странно выглядящие URI: s. Странно.

Answer 7

Это вполне может иметь место, так как это похоже на некоторый теневой код. Что, если вы используете другой компьютер, источник выглядит одинаково?