Как определить взломали сайт или (виртуальный) сервер? Возможно ли взломав сайт на Drupal поменять права и владельца директории сайта?

Главные вкладки

Аватар пользователя VasyOK VasyOK 15 ноября 2016 в 20:40

У друга старый сайт на D6. Честно сайт не мой, был бы мой, это был бы мин D7 и хост Патруль.
Пришло письмо от Яндекса, что сайт заражен. В корне сайта обнаружился файлик links816456.php (в атаче к посту). Хотел его удалить - не получилось. Смотрю по SFTP владелец папки сайта, не тот что должен быть. Маякнули на хостинг "левого" владельца убрали.

Вопрос: как определить взломали сайт или (виртуальный) сервер?
Возможно ли взломав сайт на Drupal поменять права и владельца директории, в которую этот сайт положен?

ВложениеРазмер
Иконка простого текстового файла links816456.php_.txt367.35 КБ

Комментарии

Аватар пользователя gun_dose gun_dose 15 ноября 2016 в 20:49

VasyOK wrote:

Возможно ли взломав сайт на Drupal поменять права и владельца директории, в которую этот сайт положен?

Если такие права есть у юзера, от чьего имени выполняется пхп, то да. Друпал же умеет сам выставлять права на файлы и директории.

Аватар пользователя VasyOK VasyOK 16 ноября 2016 в 2:02

Хорошо, поставим вопрос по другому.
Допустим есть у человека доступ к папке сайта (супер хаккер).
Может ли он не только поменять права, но и имя владельца директории?

Аватар пользователя DivaDii DivaDii 16 ноября 2016 в 9:27

Что-то мне подсказывает, что этот файл абсолютно не имеет отношения к взлому.

А появился он на хостинге, потому что сайт регистрировали в каталогах через систему 1ps. И это отражено в тексте файла.

Соответственно - файлик залил на хостинг сам владелец сайта.
Дата файла, подозреваю, оооочень старая.

===

Вдогонку.
Там же даже указано: дата файла (создания этого списка ссылок / регистрации в каталогах): 2011.09.07

===

Если сайт заражен, то надо смотреть на даты изменения каталогов. Если дата какая-то странная, новая, - заходить в этот каталог и смотреть на последние измененные файлы.

Аватар пользователя VasyOK VasyOK 16 ноября 2016 в 14:24

Граждане, ничего ни от от кого не требую. Тут же форум, а не саппорт.

Я ничего не запускал. И что такое Апач, имею смутное представление. Мой друг владелец аккаунта разбирается в ИТ намного меньше меня.

Врядли файлик залил мой друг, потому как на файлике было "левое" имя владельца. Собственно после обращения в саппорт этого имени больше нигде и не было.

А как выяснить запущен ли апач от рута?