Проблема с загрузкой стороннего iframe
На нескольких движках (в частности на WordPress) столкнулся с проблемой - подгружается сторонний скрипт и формирует iframe следующего вида
уже неделю бьюсь - не могу найти источник, откуда загружается. В частности с WordPress - просмотрел вроде все возможные файлы - где грузится найти не могу. К тегу body добавляется идентификатор - bnrbody. Никто не сталкивался с подобной заразой? Сервер на предмет руткита проверил, вроде все чисто. При попытке отладки в Firebug скрипт отваливается.
Код:
<iframe id="bnrbdb" width="728" scrolling="no" height="90" frameborder="0" replaced="1" framespacing="0" allowtransparency="true" vspace="0" hspace="0" marginheight="0" marginwidth="0" topmargin="0" leftmargin="0" src="//optimizedby.brealtime.com/tt?id=903186&size=728x90&bnrbdb" style="display:block !important; margin:5px auto !important">#document<html><head></head><body></body></html></iframe>
<iframe id="bnrbd2" width="468" scrolling="no" height="60" frameborder="0" replaced="1" framespacing="0" allowtransparency="true" vspace="0" hspace="0" marginheight="0" marginwidth="0" topmargin="0" leftmargin="0" src="//optimizedby.brealtime.com/tt?id=903186&size=468x60&bnrbd2" style="display:block !important; margin:5px auto 0 !important"></iframe><div id="dp_swf_engine" style="position: absolute; width: 1px; height: 1px;"><object id="_dp_swf_engine" width="1" height="1" type="application/x-shockwave-flash" data="http://www.ajaxcdn.org/swf.swf" style="width: 1px; height: 1px;"></object></div></body>
<script src="http://opt.dealply.com/opt_1366018425932/opt_content.js?partner=frnd&channel=frnd&appTitle=" type="application/x-javascript"></script>
<iframe id="bnrbd2" width="468" scrolling="no" height="60" frameborder="0" replaced="1" framespacing="0" allowtransparency="true" vspace="0" hspace="0" marginheight="0" marginwidth="0" topmargin="0" leftmargin="0" src="//optimizedby.brealtime.com/tt?id=903186&size=468x60&bnrbd2" style="display:block !important; margin:5px auto 0 !important"></iframe><div id="dp_swf_engine" style="position: absolute; width: 1px; height: 1px;"><object id="_dp_swf_engine" width="1" height="1" type="application/x-shockwave-flash" data="http://www.ajaxcdn.org/swf.swf" style="width: 1px; height: 1px;"></object></div></body>
<script src="http://opt.dealply.com/opt_1366018425932/opt_content.js?partner=frnd&channel=frnd&appTitle=" type="application/x-javascript"></script>
В общем результатом обширной деятельности было - на сервере не найдено руткитов и каких либо других вредоносов (Debian), освобождено порядка трех гигов дополнительного места. На локальном компьютере были найдены обрезки-обрубки sality, в области восстановления, но судя по всему не активных, так же найден один трой судя по всему установленный не так давно, пару смс-фекеров - опять же неактивных. Ну естественно була проведена глобальная смена всех паролей.
Короче пользы много. Причиной же подмены трафика было расширение FF - Dislike It! которое я когда-то давно установил и забыл уже про него.
Короче пользы много. Причиной же подмены трафика было расширение FF - Dislike It! которое я когда-то давно установил и забыл уже про него.
Ну так в WordPress куча плагин нужно отключать их "методом тыка". Что-то слышал я про новость-ленту.
Нет. Проблема не в плагинах. Тем более, что часть из них написаны мной, и первое что было сделано - переустановлен WP и отключены плагины. Тем более, что проблема наблюдается не на одном сайте и с различными движками.
Сталкивался давным давно с подобной порчей. Суть была в дом, что кто-то (ну всмысле что-то из SpyWare) спёр пароль на FTP с FTP-клиента (уж сколько раз твердили миру: не ленись, меняй пароль, и храни его в голове!) а потом подкинул порчу во множество PHP-файлов. В самом низу файлов дописывал некий код, сейчас не вспомню о чём, но факт в том, что этот код делал iframe размером 1х1px и в браузерах в этот iframe загружалась всякая нехорошая дрянь. Лечение было достаточно утомительным: сотню php-файлов в незащищённой аутентификацией директории пришлось открывать и старательно избавляться от порчи.
Устройство WP не очень знаю, но догадываюсь, что если в шаблонах прописать такую же беду, то она будет.
Устройство WP не очень знаю, но догадываюсь, что если в шаблонах прописать такую же беду, то она будет.
Я грешу на инъекцию в ядро и подмену пакета. дело в том, что уязвимы не только WP, например avabook.net и shop.varkon.biz - самописные и на Yii - нет никаких сторонних кодов в лайоутах - но загрузка фрейма происходит. Есть еще сайт на DLE - там таже проблема - на другом хостинге. На OpenCart - тоже. Таким образом речь идет не только в WP. Он просто найболее часто встречающийся - поэтому и интересуюсь.
Но естественно, все пароли поменял.
Что-то ты прям посеял во мне паранойю. Надо посмотреть что на моих сайтах в браузер приходит на предмет нелегальных мигрантов пакостей. А то мало ли тоже какой сидит, а я и не знаю.
Цитата: kot_
Короче пользы много. Причиной же подмены трафика было расширение FF - Dislike It! которое я когда-то давно установил и забыл уже про него.
Все гениальное просто :)
Цитата: mike
Все гениальное просто :)
ну если не считать практически потерянной недели - то в общем то да :)
Зато я теперь точно знаю что не на одном из моих серверов и компютеров нет руткитов и вирусов. Генеральная уборка так сказать. В плановом порядке вряд ли бы сделал в таком объеме :)
Ну вот и славно! А я тоже прошерстил немного паранойно по серверам, убедился что всё нормально ))))