Взломали 2 сайта на Drupal 7 (sedoparking.com)

Главные вкладки

Аватар пользователя Igumenus Igumenus 26 марта 2017 в 8:57
1

Хочу предупредить и сказать как решить проблему. Заметил случайно, пропал скролл в браузере под залогененным админом, прокрутить страницу вообще не вариант. Еще увеличились шрифты в админке.
Вчера взломали 2 сайта на Drupal 7.43 и вшили в конец кода такую галиматью:

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <style type="text/css">
    html, body, #partner, iframe {
      height: 100%;
      width: 100%;
      margin: 0;
      padding: 0;
      border: 0;
      outline: 0;
      font-size: 100%;
      vertical-align: baseline;
      background: transparent;
    }

    body {
      overflow: hidden;
    }
  </style>
  <meta content="NOW" name="expires">
  <meta content="index, follow, all" name="GOOGLEBOT">
  <meta content="index, follow, all" name="robots">
  <!-- Following Meta-Tag fixes scaling-issues on mobile devices -->
  <meta content="width=device-width; initial-scale=1.0; maximum-scale=1.0; user-scalable=0;" name="viewport">
  <script type="text/javascript" src="punycode.min.js"></script>
</head>
<body>
<div id="partner"></div>
<script type="text/javascript">
  document.write(
    '<script type="text/javascript" language="JavaScript"'
   + 'src="//sedoparking.com/frmpark/'
   + punycode.toASCII(window.location.host) + '/'
   + 'dealrucenter'
   + '/park.js">
'
    + '<\/script>'
  );
</script>
</body>

Давно известная хрень, Так между прочим уводят домены. Оба домена скоро заканчиваются. Взломано было ядро. Просто обновляете ядро! Ссылки закодированы в base64. Всем добра!

Комментарии

Аватар пользователя Igumenus Igumenus 26 марта 2017 в 16:17
1

Аххх))) ты прямо в точку! Корпорации они такие, зло держат на четких пацанчиков. Не нравятся им Робингуды, что тут поделаешь).

Аватар пользователя tobin tobin 5 апреля 2017 в 11:03

А можно подробнее про решение и саму проблему. Столкнулся неделю назад на сайте с wordpress. Поиском по коду ничего подозрительного найти не могу. Может остался исходник вредоносного кода, чтобы его поискать?

Аватар пользователя limitless limitless 25 июля 2017 в 4:46

Только что решал такую проблему у клиента (сайт на битрикс) :):):) Скорее всего у вас хостинг nic.ru, и это банальная просрочка оплаты домена, по крайней мере так было у клиента.