3 апреля 2015 в 18:44
Здравствуйте.
Есть сайт на Друпал .Какое то время сайтом не занимался.Потом как и большинство друповодов попал с критическими обновлениями.Был друпал 7.24.Появился drupaldev с правами администратора,который заразил сайт.Обновился до рекомендуемой версии друпал. Сайт не лечил.а просто накинул обновления.Слетел шаблон.С сайта идет куча редиректа. Никак не могу найти свой чистый бэкап-сайта,где то завалялся.....
Щас ядро Друпала 7.34 просит обновиться опять до стабильной версии 7.36.
Самое удивительное.Сегодня опять в панели администратора,заметил пользователя с админ правами.
Может кто сталкивался с такими....имя -tonya93, почта -tonya93@mail.com.
Ребята выручайте.
Кто может посмотреть сайт, указать на недостатки и помочь с безопасностью.За ядром стал следить.модули обновляю.
Комментарии
Могу подлечить и помочь с апдейтами
Хостинг писал что на сайте завелся вредоносный код, но я этот момент проспал..через неделю хост стал писать что вредоносного по уже не обнаружено.
А сколько стоят ваши услуги....щас так то пока напряг...но в ближайшее время нуно лечиться полубому.......
Так же кто может научить заливать свой сайт на денвер...и на хост..вместе в бд.??
Окей в течении суток отпишу.....
А денвер подойдет..или нужно опенсервер обязательно.
Ситуация такова...чистим сайт ручками.удалили кучу файлов с вредоносным кодом.куча файлов PHP,TPl,попался даже вирусный код в формате jpg.чистим и куриентом и айболитом .проверка антивирусом на хосте показывает что код на сайте не обнаружен.но тем не менее вредоносы редирект на другие сайты присутствует.походу где то еще есть зараженные файлы.какими еще способами их можно найти....
А это зачем? На что может влиять?
Дело в том, что я взялся чистить этот сайт. Вычистили всё, что только смогли - удалили левый код из заражённых файлов, удалили лишние файлы, даже нашли случайно пхп-файл, замаскированный под жпег, после чего поиском сканили все картинки - всё в норме. В папках модулей были созданы левые файлы, что интересно, в журнале ошибок появились page not found с адресами, повторяющими расположение некоторых из удалённых файлов.
В итоге, на страницу всё равно добавляется вредоносный код с левой рекламой и редиректами. Причём если смотреть с одного браузера или с одного айпи несколько раз подряд, то всё нормально. Как только заходишь впервые с другого компа, то в конец страницы дописывается несколько айфреймов с рекламой за пределами страницы. Что интересно, в обджект инспекторе их код виден, а если нажать "просмотреть исходный код страницы", то там всё чисто. Не знаю уже где искать, но на всякий случай скопировал из обжект инспектора код и сохранил его в приложенный файл. Может хоть это поможет в чём-то.
Кстати, на локальной копии на опенсервере ситуация ни разу не воспроизвелась
Да, долго, т.к. хозяин сайта мне доступов к хостингу не давал и я даже не в курсе, какая версия там стоит сейчас. Насколько я понимаю, этот вопрос надо адресовать хостеру?
в общем, от смены пхп с 5.3 на 5.4 толку ровно ноль. Какие ещё предложения?
О Великие и Могучие Гуру этого сайта. О Всезнающие Друпалеры или Друповоды .. Обьединитесь и присоединитесь.Помогите решить проблему и вылечить сайт.Где и что еще моно посмотреть...
Починили всё. Помимо взлома самого сайта начал подсирать баннер календаря с xuxu.org.ua. Именно баннер добавлял невидимые скрипты и айфреймы и делал переадресацию. А из-за взлома самого сайта, было создано и заражено пару десятков файлов, благодаря чему сайт научился слать тонны спама. Что интересно, по показаниям заказчика баннер до взлома сайта вёл себя абсолютно адекватно.
Ура ура ура...все работает на Ура......