<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

After seeing that, I definately checked the bootstrap.inc, but it's

clean.<br>

<br>

The host is (surprise, surprise) Rackspace / Mosso.<br>

<br>

Brian<br>

<br>

Laura wrote:

<blockquote cite="mid:54B926FE-9DAC-4E40-8716-46A882CEC96D@gmail.com"

 type="cite">

  <pre wrap="">See this Development list thread from yesterday. <a class="moz-txt-link-freetext" href="http://lists.drupal.org/pipermail/development/2010-January/034894.html">http://lists.drupal.org/pipermail/development/2010-January/034894.html</a>

Look for malicious code in your filesystem -- bootstrap.inc for example was modified in some reported attacks.

What host is this site on? There might be some correlation there.

On Jan 28, 2010, at Thu 1/28/10 2:57pm, Brian Vuyk wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">Hi all.

I am having a strange issue with a client's site. I am hoping someone 

here has had similar, so we can compare notes / find a solution.

Monday, this long-time client called me up to tell me that when he goes 

to certain paths on his site, instead of showing his pages, they would 

show pages from 'Canadian Pharmacy'. The pages are exactly as those 

shown in this spamwiki article:

<a class="moz-txt-link-freetext" href="http://spamtrackers.eu/wiki/index.php/Canadian_Pharmacy">http://spamtrackers.eu/wiki/index.php/Canadian_Pharmacy</a>

At the time, I wasn't able to reproduce the issue. However, it was 

affecting more and more of his visitors - soon he started forwarding 

emails from his users indicating similar issues.

Eventually, it happened to me too - at certain paths, the Canadian 

Pharmacy pages would come up. The attack seems to be cookie-based, 

because once I cleared my browser cookies, the problem went away. The 

same fix worked to clear it up on the client's machine. Unfortunately, I 

haven't been able to make it happen again so I can see exactly *what* 

cookies are set.

Now, I've since updated core and every module on the site to the latest 

versions. I've checked all the non-Drupal files on the server, and 

examined the database very closely, and can say with relative certainty 

that there is no rogue code running on the site. However, the problem is 

still occurring for my client's visitors on and off.

Does anyone have any idea how this is being accomplished / what we can 

do to try to find a solution for this? Has anyone seen anything like 

this before?

Any help or suggestions is very much appreciated.

Brian

_______________________________________________

consulting mailing list

<a class="moz-txt-link-abbreviated" href="mailto:consulting@drupal.org">consulting@drupal.org</a>

<a class="moz-txt-link-freetext" href="http://lists.drupal.org/mailman/listinfo/consulting">http://lists.drupal.org/mailman/listinfo/consulting</a>

    </pre>

  </blockquote>

  <pre wrap=""><!---->

_______________________________________________

consulting mailing list

<a class="moz-txt-link-abbreviated" href="mailto:consulting@drupal.org">consulting@drupal.org</a>

<a class="moz-txt-link-freetext" href="http://lists.drupal.org/mailman/listinfo/consulting">http://lists.drupal.org/mailman/listinfo/consulting</a>

  </pre>

</blockquote>

<br>

</body>

</html>