Взлом

Главные вкладки

Аватар пользователя zayka123 zayka123 14 марта 2016 в 11:33

произошло данное событие на 2 сайтах с разницей по времени в 1 неделю

логин администратора был переименован в zenno и был изменен емейл

в первый раз доступ был восстановлен через базу, и выяснилось что, емейл изменили на мой же емейл, поэтому во второй раз пароль легко был восстановлен

новых созданных документов нет, пользователь после изменения моего логина на логин zenno на сайт не заходил

а через некоторое время на первом сайте опять такая же картина, админ переименован, но емейл уже не меняли.
при чем на сайте два админа, изменен только один, который первый пользователь на сайте.

куда копать и смотреть что это такое и как такое произошло?

Комментарии

Аватар пользователя zayka123 zayka123 14 марта 2016 в 12:14

логи сервера ничего не говорят со словом zenno.
а так, как обычно, постоянно кто-то ломится отовсюду. на сервере более десятка сайтов

Аватар пользователя dgastudio dgastudio 14 марта 2016 в 12:33

zayka123 wrote:

на одном стоит Drupal 7.31, на втором Drupal 7.21


про drupalgedon не слышали насколько я понимаю.

вас взломали из за старой дырки в друпале, обновлятся и чистить

hacked + diff вам в помощь

ну и ручками по всем папкам пройтись

Аватар пользователя dgastudio dgastudio 14 марта 2016 в 12:58

zayka123 wrote:

понятно, спасибо, значит надо обновляться и чиститься Smile
а по папкам пройтись - что-то конкретное искать?


все левое, смотрите по датам обновления. как правило это будут файлы php в формете db.php, core.php, main.php и в нутри обфусцированный код

Аватар пользователя zayka123 zayka123 14 марта 2016 в 22:18

в итоге пока нашлось, что группа и пользователь файлов в папке, где лежат сайты, не root, а 6226
когда произошло переименование группы - не известно
остальные файлы и папки ни кем не менялись, новые файлы не появлялись
при чем косяк произошел только на 2 друпалах из 5 (остальные друпалы версий 6.15, 6.2, 7.26 - никаких проблем)
внешнего вмешательства на сервер не было замечено, доступ к ftp и ssh только для определенного диапазона ip, так что как такое произошло не понятно

про drupalgedon не нашла такого, что это?