X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взломали сайт на Drupal, как избавится от вируса
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 3:14; Ответить: jjoret
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 791
Регистрация: 29.11.2011
Из: Беларусь
Поблагодарили: 169 раз
Репутация:   45  


Здравствуйте. Недавно взломали мой сайт на друпале, а я думал самая безопасная кмс, вставили код в футер, на некоторых страницах отображались ссылки с околоссылочным текстом в маленьком шрифте на том месте, очень похоже на биржу ссылок. Вот код:
Код
<?php
if(render($page['footer'])){
print '<div class="footer"><div class="wrapper">'.render($page['footer']); @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'); print '</div></div>';
}
if(render($page['hide'])){
print render($page['hide']);
}
?>

собственно вирус: @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'
Этот гиф-файл зашифрован под пхп-код. В общем я его удалил, но вопрос возник: одно дело залить файл на хостинг, другое - изменить код и вставить туда ссылку на вирус-файл. То есть должен быть еще где-то загрузчик, с помощью которого взломщик может закачивать все что хочет. К знатокам Друпала, кто что думает по этому поводу? и как это все удалить и не допустить впредь?


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DVORYAN
DVORYAN
сообщение 9.7.2014, 4:34; Ответить: DVORYAN
Сообщение #2


Бывалый
****

Группа: User
Сообщений: 347
Регистрация: 16.2.2009
Из: Нижний Новгород
Поблагодарили: 108 раз
Репутация:   17  


Какая версия Drupal, у меня старые версии взламывали, после обновления ядра и всех модулей взломы прекратились.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 9.7.2014, 6:18; Ответить: kagtus
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


айболитом проверьте и движок/модули обновите.

P.S. самая безопасная - не значит что ее нельзя взломать ;)


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Infacto
Infacto
сообщение 9.7.2014, 9:40; Ответить: Infacto
Сообщение #4


Завсегдатай
*****

Группа: Active User
Сообщений: 937
Регистрация: 19.9.2011
Из: www
Поблагодарили: 369 раз
Репутация:   79  


Была такая же беда на ВП, удалил файл, сменил пароли(фтп, хостинг, админка), удалил код, просмотрел все файлы с датой изменения которые я не вносил. Больше такого не было.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 14:44; Ответить: jjoret
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 791
Регистрация: 29.11.2011
Из: Беларусь
Поблагодарили: 169 раз
Репутация:   45  


А кто-нибудь догодывается как взломщик смог поменять код в файле шаблона?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Infacto
Infacto
сообщение 9.7.2014, 15:41; Ответить: Infacto
Сообщение #6


Завсегдатай
*****

Группа: Active User
Сообщений: 937
Регистрация: 19.9.2011
Из: www
Поблагодарили: 369 раз
Репутация:   79  


jjoret,
Думаю через плагин, плагины тоже обновлял. А может и через хостинг (у меня от верблюда)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rampage
Rampage
сообщение 9.7.2014, 16:20; Ответить: Rampage
Сообщение #7


Участник
***

Группа: User
Сообщений: 239
Регистрация: 20.11.2010
Из: localhost
Поблагодарили: 67 раз
Репутация:   23  


ищите шелл изначально айболитом как посоветовали выше, если на одном акаунте есть еще сайты по соседству вполне могли получить доступ через них, ну и после чистки грамотно выставить права


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
webpavilion
webpavilion
сообщение 9.7.2014, 16:23; Ответить: webpavilion
Сообщение #8


сеошник на пенсии
*******

Группа: Active User
Сообщений: 2726
Регистрация: 28.4.2009
Из: МО
Поблагодарили: 1659 раз
Репутация:   171  


Если ломанули именно drupal, а не соседний сайт или пароль к FTP и вам не мстит один из бывших создателей, то с вероятностью в 99.9% процента стоит какая нибудь древность которую нужно обновить было года полтора назад. В стоковых эксплоит паках максимум что ломаеться по ядру до 7.12 и 6.24 и то там с оговорками и удобным стечением обстоятельств.

А еще может собрали так криворуко что анонимам можно php прямо из формы комментариев исполнять или бекдор залили на всякий.

А так да, самая безопасная.


--------------------
Не ведитесь, cамопис это почти всегда плохо!

Делаю сайты на Drupal 7.x
(очень дорого)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 18:14; Ответить: jjoret
Сообщение #9


Завсегдатай
*****

Группа: Active User
Сообщений: 791
Регистрация: 29.11.2011
Из: Беларусь
Поблагодарили: 169 раз
Репутация:   45  


Допустим я удалил вирус, но мне нужно быть уверенным, что в дальнейшем не случится подобного, ведь это я заметил чисто случайно. Может есть какая-то программа или сервис чтобы автоматически чекал ссылки со всех страниц сайта, типа как Xenu?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Drupal_way
Drupal_way
сообщение 12.7.2014, 14:23; Ответить: Drupal_way
Сообщение #10


Бывалый
****

Группа: User
Сообщений: 410
Регистрация: 17.12.2011
Из: Ростов-на-Дону
Поблагодарили: 73 раза
Репутация:   6  


Чтобы это не повторилось - обновляйте друпал и модуля. Проверка ссылок тут http://www.linkpad.ru/


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Попинайте сайт
0 yanat 351 Вчера, 23:06
автор: yanat
Открытая тема (нет новых ответов) Взломали аккаунт Алиекспресс
Внимание мошенники
9 Intersect 391 Вчера, 22:44
автор: Emtec
Горячая тема (нет новых ответов) [Услуги] Баннер/Графика/Сайт
56 FillPlay 5244 Вчера, 18:16
автор: FillPlay
Открытая тема (нет новых ответов) Продам сайт под развитие
Под будущий СДЛ, тематика бизнес, возраст 1 год
5 abafons 1228 Вчера, 14:12
автор: xeons
Открытая тема (нет новых ответов) Продам сайт+домен
1 hndrs 621 Вчера, 13:36
автор: xeons


 



RSS Текстовая версия Сейчас: 16.12.2017, 12:56
Дизайн