24 октября 2014 в 18:57
Здравствуйте, уважаемые форумчане! Обращаюсь к вам за помощью! Сайт на Drupal 6 был взломан, теперь при обращении по адресу "сайт.ру/?for_um=/porno-hozyayka" выскавивает фишинговая страничка, имитирующая страницу "форума"(см. приложение). Помогите пожалуйста понять, как злоумышленник взломал сайт и как ликвидировать последствия. И залатать "дыру".
Большое спасибо всем за помощь!
| Вложение | Размер |
|---|---|
 vzlom.png | 373.27 КБ |
Комментарии
покажи .htaccess
Прикладываю .htaccess данного сайта
дохерища вариантов. нанимайте спеца
Во первых обновите ядро друпал и .htaccess. Если не поможет, пишите. Надо разбираться глубже
проанализируй модулем https://www.drupal.org/project/hacked, покажи результаты
ttenz, спасибо! Проанализировал, вот отчёт в приложении.
не это не отчет, по ходу модуль не может запуститься + у тебя сайт не обновлен.
тогда сделай бекап сайта, базы, удали все папки кроме sites и удаленные папки, файлы замени аналогичными из официального релиза, затем перейди по адресу твой_сайт/update.php и зайди на главную, исчезло ли безобразие.
+ смени пароли админа, выруби фтп.
+ норм хостинг не помешает (it-patrol - там они мониторят ситуацию)
Спасибо, помогло! И вот что ответил Друпал после обновления:
The following queries were executed
color module
Update #6001
No queries
comment module
Update #6004
ALTER TABLE {node_comment_statistics} ADD INDEX comment_count (comment_count)
Update #6005
ALTER TABLE {comments} ADD INDEX comment_uid (uid)
ALTER TABLE {node_comment_statistics} ADD INDEX last_comment_uid (last_comment_uid)
locale module
Update #6007
No queries
До обновления решил проверить, тему на предмет зараженнности. Вот, какое сообщение вылезло, когда первый раз её применял:
warning: call_user_func_array() [function.call-user-func-array]: First argument is expected to be a valid callback, 'comment_display_node_page_view' was given in /home/логин_на_хосте/public_html/сайт.ру/includes/menu.inc on line 350.
warning: call_user_func_array() [function.call-user-func-array]: First argument is expected to be a valid callback, 'comment_display_node_page_view' was given in /home/логин_на_хосте/public_html/сайт.ру/includes/menu.inc on line 350.
После обновления такое сообщение исчезло и всё работает без проблем на старой теме! Спамная страничка исчезла! По заданному урлу (сайт.ру/?for_um=/porno-hozyayka) отображается главная страница. Спасибо огромное за помощь!
З.Ы.
Думаю перелезть на следующий друпал - 7.32.
проверь ещё раз модулем hacked, зайди на его страничку у себя на сайте, у тебя должно получиться подобное -
+ созданный бэкап прогони антивирусом (http://www.clamav.net/index.html)
+ прогони модулем https://www.drupal.org/project/security_review, должен увидеть типа -
Результат проверки hacked:
Отчет проверки security_review:
Антивирус Касперского 2012 с последними базами ничего не нашел. Т.к. Каспер у меня был, не стал качать ClamAV.