1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Безопасность

Взломали сайты

Главные вкладки

Аватар пользователя tematam tematam 12 декабря 2014 в 23:35

Всем привет!
У меня случилась беда.
Абсолютно все мои сайты взломали. Каким образом не понятно.
Сначала был введен код на странице http://sovbistroy.ru/user:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'OKOFJ' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => LirDOP [:name_1] => OKOFJ ) в функции user_login_authenticate_validate() (строка 2154 в файле /home/s/sovbistrru/sovbistroy.ru/public_html/modules/user/user.module).

Потом около 50 попыток подбора пароля. Неудачных, т.к. подбирали для логина admin

Затем хостер присылает, что с сайта за час было отправлено более 1000 мэилов...

Что делать?(

Друпал обновлен до последней версии и все модули обновлены..

Комментарии

Аватар пользователя tematam tematam 13 декабря 2014 в 1:58

Вот, что пишет хостер Рассылка производится через один из установленных модулей Вашего сайта.
Для того, чтобы определить какой именно модуль или скрипт рассылает нежелательные сообщения, Вы можете воспользоваться логом доступа.
В нем необходимо осуществлять поиск post-запросов с параметрами аналогичными виду:

============================
list=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%3D&data=PldRR1A8bmNhe11gcGN7Pi1XUUdQPA8IPkxDT0c8IE5jYXsiQHBjeyA%2BLUxDT0c8Dwg%2BUVdASDwiTm1uIlFqZyVxImMiUWFwZ2NvZ3A%2BLVFXQEg8Dwg%2BUUBNRls8DwgPCD5ma3Q8DwhRamclcSJjIlFhcGdjb2dwImp2dnI4LS1ga21xdWdgLGt2LWBubWUtdXIva2xhbndmZ3EtaHEtaHN3Z3B7LWNwdmthbmcsanZvbj0nT0NLTl1HTCcPCD4tZmt0PA8IPi1RQ иE1GWzw%3D&en=1".
========================

Они укажут на скрипт, который приводит к рассылке.

Аватар пользователя tematam tematam 13 декабря 2014 в 22:29

voviko wrote:
Посмотрите в заголовки писем. Может и там найдете название срипта.

Вы имеете ввиду тех писем, которые от хостера приходт? Мне заблокировали они функцию отправки писем с сайта sendmail

Аватар пользователя Enemy Enemy 15 декабря 2014 в 16:18

есть предположение, что пароли к фтп вы храните в total commandere и у вас троянчиг )

если что, FileZilla + Keepass сохранит пароли в надёжности.