Как определить взломали сайт или (виртуальный) сервер? Возможно ли взломав сайт на Drupal поменять права и владельца директории сайта?

Втр, 15/11/2016 - 17:40

У друга старый сайт на D6. Честно сайт не мой, был бы мой, это был бы мин D7 и хост Патруль.
Пришло письмо от Яндекса, что сайт заражен. В корне сайта обнаружился файлик links816456.php (в атаче к посту). Хотел его удалить - не получилось. Смотрю по SFTP владелец папки сайта, не тот что должен быть. Маякнули на хостинг "левого" владельца убрали.

Вопрос: как определить взломали сайт или (виртуальный) сервер?
Возможно ли взломав сайт на Drupal поменять права и владельца директории, в которую этот сайт положен?

0 Спасибо

Комментарии

Аватар пользователя gun_dose
7 months 1 неделя назад gun_dose #
VasyOK написал:
Возможно ли взломав сайт на Drupal поменять права и владельца директории, в которую этот сайт положен?

Если такие права есть у юзера, от чьего имени выполняется пхп, то да. Друпал же умеет сам выставлять права на файлы и директории.

0 Спасибо
Аватар пользователя VasyOK
7 months 1 неделя назад VasyOK #

Даже на ту папку в которую Друпал установлен?
И до какого уровня "вверх" можно права менять? :)

0 Спасибо
Аватар пользователя ХулиGUN
7 months 1 неделя назад ХулиGUN #
VasyOK написал:
И до какого уровня "вверх" можно права менять? :)

до "/"

0 Спасибо
Аватар пользователя VasyOK
7 months 1 неделя назад VasyOK #

Хорошо, поставим вопрос по другому.
Допустим есть у человека доступ к папке сайта (супер хаккер).
Может ли он не только поменять права, но и имя владельца директории?

0 Спасибо
Аватар пользователя ХулиGUN
7 months 1 неделя назад ХулиGUN #
VasyOK написал:
Может ли он не только поменять права, но и имя владельца директории?

Смотря какой доступ у него))) Если Вы ещё и апач запускаете от рута, тогда ваще всё можно)))

0 Спасибо
Аватар пользователя ХулиGUN
7 months 1 неделя назад ХулиGUN #

Что ж Вы не посмотрели содержимое файлика links816456.php? Там бы стало понятно, к чему вёл этот взлом))) А сейчас Вы предлагаете нам угадывать, что мог наворотить школохацкер? Каким образом, по кофейной гуще?

0 Спасибо
Аватар пользователя ХулиGUN
7 months 1 неделя назад ХулиGUN #

Может ваще не Вас ломали или не через Вас. Просто оказались по соседству

0 Спасибо
Аватар пользователя DivaDii
7 months 1 неделя назад DivaDii #

Что-то мне подсказывает, что этот файл абсолютно не имеет отношения к взлому.

А появился он на хостинге, потому что сайт регистрировали в каталогах через систему 1ps. И это отражено в тексте файла.

Соответственно - файлик залил на хостинг сам владелец сайта.
Дата файла, подозреваю, оооочень старая.

===

Вдогонку.
Там же даже указано: дата файла (создания этого списка ссылок / регистрации в каталогах): 2011.09.07

===

Если сайт заражен, то надо смотреть на даты изменения каталогов. Если дата какая-то странная, новая, - заходить в этот каталог и смотреть на последние измененные файлы.

0 Спасибо
Аватар пользователя gun_dose
7 months 1 неделя назад gun_dose #

Васёк, вот тебе раз, и вот тебе два. Так что хулиган прав - не надо запускать апач от рута.

0 Спасибо
Аватар пользователя VasyOK
7 months 1 неделя назад VasyOK #

Граждане, ничего ни от от кого не требую. Тут же форум, а не саппорт.

Я ничего не запускал. И что такое Апач, имею смутное представление. Мой друг владелец аккаунта разбирается в ИТ намного меньше меня.

Врядли файлик залил мой друг, потому как на файлике было "левое" имя владельца. Собственно после обращения в саппорт этого имени больше нигде и не было.

А как выяснить запущен ли апач от рута?

0 Спасибо