Защита сайта

Главные вкладки

Аватар пользователя barbarian77 barbarian77 3 апреля 2016 в 16:14

Доброго дня всем господа. Столкнулся с такой проблемой, после установки друпал 8.05 на чистый хостинг с нуля и проверкой антивирусом, высветилась куча зараженных файлов. Как могла появиться такая проблема? И с чем она связана? Проверка была параноидальная.

На прошлом хостинге буквально через сутки на новом сайте появилась вот такая беда

/home/host1463882/natural-museum.ru/htdocs/www/core/modules/editor/tests/src/Unit/EditorXssFilter/StandardTest.php

1 < iframe src=http://ha.ckers.org/scriptlet.html <','

Комментарии

Аватар пользователя barbarian77 barbarian77 3 апреля 2016 в 18:13

А каким образом могло перейти с одного аккаунта на другой на хостинге? Да и пустой вообще изначально аккаунт был. Антивирусы не могут воспринимать код ядра как вирус?

Аватар пользователя Studio VIZA Studio VIZA 3 апреля 2016 в 19:43

Если сайт на Джино, там крутой антивирус и беззащитное окружение, вроде внутренней полиции при открытых границах, имхо.
В коде ядра вирусов нет, если есть в файлах кроме сайтес, удалите, обновите.

В общем, сложно судить не зная обстоятельств.

Mihail.space wrote:

ищите другой

Лучше действительно найти нормальный сервер.

пс. Ну или паранойю укротить )

Аватар пользователя barbarian77 barbarian77 3 апреля 2016 в 19:47

Еще есть такой вопрос к уважаемым знатокам, куда можно отправить и какие файлы разработчикам drupal? дабы закрыть такую дырку. Просто ссылка на h,akers.org вызывает мало сомнений.

Аватар пользователя barbarian77 barbarian77 3 апреля 2016 в 19:50

Как раз на джино и произошел взлом, потом перешел на хостинг hostland, но проблема осталась, сейчас восстанавливаю сайт на хостинге, где домен не подключен к сети, уже надоело по 350 страниц сайта восстанавливать 4 раз.

Аватар пользователя barbarian77 barbarian77 3 апреля 2016 в 19:52

Еще вопрос, какие обстоятельства вам нужны, могу предоставить, для уважаемого сообщества, да бы такая проблема не повторилась

Аватар пользователя Studio VIZA Studio VIZA 3 апреля 2016 в 19:58

barbarian77 wrote:

Как раз на джино и произошел взлом

Внутренняя полиция в действии. Если б вы знали, сколько на моей только памяти клиентов жаловались, что когда то, были вынуждены бросить сайты из-за их вирусов. Мне их политика всегда не по нутру была. Бьют окна сами и стеклят, чистый Чарли Чаплин розлива 20-х годов прошлого века. Хорошо если я не прав.

Аватар пользователя Studio VIZA Studio VIZA 3 апреля 2016 в 21:35

barbarian77 wrote:

Вы наверное в jino работаете

Поддерживать сайты подразумевается работа на многих серверах. Джино отличается именно террористами и антитеррористами. На других серверах нет ни того ни другого. Всё решено выше, а мелочи есть мелочи.

Аватар пользователя g78knl6cvxf0 g78knl6cvxf0 3 апреля 2016 в 23:08

Да вы наверное бухаете тут без меня, не бухайте, я вернусь (и уже тогда, ога)!

modules/editor/tests/src/Unit/EditorXssFilter/StandardTest.php
по буквам, tests, Unit, XssFilter, Test.

barbarian77 wrote:
Куда можно отправить и какие файлы разработчикам drupal?

Поздно отправлять, 1 апреля закончилось Sad

barbarian77 wrote:
Просто ссылка на h,akers.org вызывает мало сомнений..

А должна. И там ha.ckers.org, если уж то на то пошло.
barbarian77 wrote:
какие обстоятельства вам нужны, могу предоставить

Халькопирит
Вот этот камень с музея надыбать можешь? (напоминает бесконечную руду из Dungeon Keeper, в хозяйстве пригодится)

Аватар пользователя gun_dose gun_dose 4 апреля 2016 в 13:56

при параноидальной проверке в исходном коде ядра и модулей в качестве вирусов определяются все файлы с расширением .sh, но на самом деле они вирусами не являются. Вы лучше скажите, в чём проявляются признаки взлома? а вообще, поставьте для начала hacked+diff, проверьте, какие файлы изменены. Посмотрите, что в журнале творится. Посмотрите через linkpad, есть ли на сайте левые ссылки. Если что-то из этого есть, то запишите список всех установленных модулей. Сделайте локально чистую установку друпал, загрузите через drush все модули. Потом удалите с хостинга ядро и модули и залейте вместо них скачанные. Так вы 100% избавитесь от лишних файлов. И не знабудьте поменять пароли - от юзера, фтп, хостинга. И ещё посмотрите список пользователей - лишних удалите.

Аватар пользователя barbarian77 barbarian77 4 апреля 2016 в 14:22

Признаки взлома проявляются в появлении вот этого кода
home/host1463882/natural-museum.ru/htdocs/www/core/modules/editor/tests/src/Unit/EditorXssFilter/StandardTest.php

1 < iframe src=http://ha.ckers.org/scriptlet.html <','

hacked+diff про это можно немного подробней? Это такие модули?
Пароли поменял вместе с хостингом.

Аватар пользователя Баба Галя Баба Галя 4 апреля 2016 в 15:30
1

Правильно робите, хлопцы, что разбираетёсь! Щемить это хулиганьё надо, которое так делает. Я ж вот про них у газете читала, дык зараз перафоткаю да на сетку вылажу (сорри за качество, зеркалка советская исчо)

компромат