Взломали сайты
Всем привет!
У меня случилась беда.
Абсолютно все мои сайты взломали. Каким образом не понятно.
Сначала был введен код на странице http://sovbistroy.ru/user:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'OKOFJ' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => LirDOP [:name_1] => OKOFJ ) в функции user_login_authenticate_validate() (строка 2154 в файле /home/s/sovbistrru/sovbistroy.ru/public_html/modules/user/user.module).
Потом около 50 попыток подбора пароля. Неудачных, т.к. подбирали для логина admin
Затем хостер присылает, что с сайта за час было отправлено более 1000 мэилов...
Что делать?(
Друпал обновлен до последней версии и все модули обновлены..
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Вот, что пишет хостер Рассылка производится через один из установленных модулей Вашего сайта.
Для того, чтобы определить какой именно модуль или скрипт рассылает нежелательные сообщения, Вы можете воспользоваться логом доступа.
В нем необходимо осуществлять поиск post-запросов с параметрами аналогичными виду:
============================
list=cW9tbGFqa3EzO3FxQmVvY2tuLGFtbyFxb21sYWlne0J7Y2ptbSxhbW8hcW9tbGFpdm1sMDIyO0Jveyx2dWFsZ3YsZ2Z3IXFvbWxhbmNCe2NqbW0sYW1vIXFvbWxhbmdwY3d6QmVvY2tuLGFtbyFxb21sYXBrZ2QyNkJ7Y2ptbSxhbW8hcW9tbGFwa2dkMTFCa2FubXdmLGFtbyFxb21sYXBrZ2QxMUJ7Y2ptbSxhbW8hcW9tbGFwa2dkNTRCe2NqbW0sYW1vIXFvbWxhcGtnZGRCcWBhZW5tYGNuLGxndiFxb21sYXBrZ2RkZ0J7Y2ptbSxhbW8hcW9tbGF4Z3VxaWtCe2NqbW0sYW1vIXFvbWxmMjIyM0Jlb2NrbixhbW8hcW9tbGYyMjUwMjIwQntjam1tLGFtbyFxb21sZjNCam12b2NrbixhbW8hcW9tbGY7QntnY2osbGd2IXFvbWxmY2FjMzAxQmVvY2tuLGFtbyFxb21sZmNrY29tZm1Cam12b2NrbixhbW8hcW9tbGZjbjI1OkJlb2NrbixhbW8hcW9tbGZjbjMyOkJlb2NrbixhbW8%3D&data=PldRR1A8bmNhe11gcGN7Pi1XUUdQPA8IPkxDT0c8IE5jYXsiQHBjeyA%2BLUxDT0c8Dwg%2BUVdASDwiTm1uIlFqZyVxImMiUWFwZ2NvZ3A%2BLVFXQEg8Dwg%2BUUBNRls8DwgPCD5ma3Q8DwhRamclcSJjIlFhcGdjb2dwImp2dnI4LS1ga21xdWdgLGt2LWBubWUtdXIva2xhbndmZ3EtaHEtaHN3Z3B7LWNwdmthbmcsanZvbj0nT0NLTl1HTCcPCD4tZmt0PA8IPi1RQ иE1GWzw%3D&en=1".
========================
Они укажут на скрипт, который приводит к рассылке.
Посмотрите в заголовки писем. Может и там найдете название срипта.
Вы имеете ввиду тех писем, которые от хостера приходт? Мне заблокировали они функцию отправки писем с сайта sendmail
есть предположение, что пароли к фтп вы храните в total commandere и у вас троянчиг )
если что, FileZilla + Keepass сохранит пароли в надёжности.