Взлом форума на Друпал

Главные вкладки

Аватар пользователя o.pilot o.pilot 5 июля 2014 в 0:22

Опять взломали форум. Обидно, досадно, сижу чищу. Но на этот раз наследили конкретно, в форме хакерского входа оставили адрес хакерского форума, а в документах сайта нашел очень интересный документик-инструкцию как взламовать MySQL...
Фото сайта "ХАК"

Дальше текст как есть, перводчик Гугл всё переведет...:

ASDELY Forums

CREATE THE MySQL DATABASE
This step is only necessary if you don't already have a database set-up (e.g. by
your host). In the following examples, 'username' is an example MySQL user which
has the CREATE and GRANT privileges. Use the appropriate user name for your
system.

First, you must create a new database for your Drupal site (here, 'databasename'
is the name of the new database):

mysqladmin -u username -p create databasename

MySQL will prompt for the 'username' database password and then create the
initial database files. Next you must login and set the access database rights:

mysql -u username -p

Again, you will be asked for the 'username' database password. At the MySQL
prompt, enter following command:

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER,
CREATE TEMPORARY TABLES ON databasename.*
TO 'username'@'localhost' IDENTIFIED BY 'password';

where

'databasename' is the name of your database
'username@localhost' is the username of your MySQL account
'password' is the password required for that username

Note: Unless your database user has all of the privileges listed above, you will
not be able to run Drupal.

If successful, MySQL will reply with:

Query OK, 0 rows affected

Комментарии

Аватар пользователя Ubiquitous_Nothing Ubiquitous_Nothing 5 июля 2014 в 11:50

Тот текст, что вы нашли - это стандартная инструкция друпала по созданию БД для сайта, ко взлому отношения не имеет. Можете убедиться сами - скачайте с drupal.org текущую версию друпала и найдите в нём файл - "INSTALL.mysql.txt".
Так что этот текст тут не при чём, копайте в других направлениях.

Аватар пользователя o.pilot o.pilot 6 июля 2014 в 5:08

Текст не стандартный.Тут "заковыка"
Опять же, вам будет предложено для 'Имя пользователя' базы данных паролем. В MySQL строке введите следующую команду:

ГРАНТ SELECT, INSERT, UPDATE, DELETE CREATE, DROP, INDEX, ALTER
Создание временных таблиц НА DatabaseName. *

То есть вводите команду и определяете роли для пользователя через MySQL и создаёте таблицы внутри ЛЮБОГО сайта Друпал... хотя ХЗ...
На сейчас удалил входы, но гарантий, что завтра не войдут по новой никаких... жесть... 47000 страниц в каталогах и это еще семечки, базы данных еще полные!

Аватар пользователя Ubiquitous_Nothing Ubiquitous_Nothing 6 июля 2014 в 9:42

Не морочьте себе голову, содержимое стандартно - https://api.drupal.org/api/drupal/INSTALL.mysql.txt/7
Меняйте хостинг, изучайте логи, используйте htpasswd на административные пути, ищите способы защиты.
И излагайте не так сумбурно, глядишь - кто-нибудь сможет вникнуть и подскажет что-то.