Друзья, помогите!
С чего начать поиск вируса на сайте друпал6? Пришло предупреждение от яндекса о том, что сайт распространяет вредоносный код. С чего бы вдруг? Никаких действий на сайте не производилось. А вот с настройками компа разбирался. Тормозил уж слишком.
Будет ли действенным откат сайта на пару дней назад?
Как вычислить вирус и удалить его?
Яндекс давал рекомендации. Все прочел. Может быть есть что-то именно касательно друпал6, что-то особенное на что смотреть, где искать?
Заранее благодарю.
С уважением, Роман.
Комментарии
в index.php искать или в js скриптах
установи модуль https://drupal.org/project/hacked - он покажет все изменения в ядре и большинстве контрибных модулей
если нет , то ищи "лишние" файлы
Проверь или замени на новый файл .htaccess чаще всего в него дописывают редиректы.
Также у меня был случай с хостингом на "Мастерхосте" они ставили мобильный редирект.
Если не найдешь вирус попробуй поменять хостинг.
Не успел я устранить причину вирусных изменений старого сайта, как сегодня "накрылся" новый, уже на семерке.
Становится даже интересно. В него я войти пока не могу.
Хостинг timeweb.ru.
Я использовал total commander для входа по ftp, Логично предположить, что с большой вероятностью стырили пароль от него.
Посоветуйте хороший надежный FTP клиент, плиз.
Ещё вопрос. Нужно ли что-то производить с БД после или во время лечения от вирусов?
Сейчас проверяю файлы на предмет изменений, меняю пароли и пробую использовать вышеописанный модуль hacked.
Спасибо, друзья!
p.s. сайт на D7 сегодня стал выглядеть вот просто так как на приложенной картинке. Если есть у кого комментарии, то буду благодарен.
Вот же я ...
Ребята, проблема со вторым сайтом отменяется. Мое упущение. Был включен денвер и на нем стоял аналогичный сайт, с тем же доменом, но нерабочий))).
Надеюсь, что вирусы значит дальше не пошли по остальным сайтам моего аккаунта на хостинге.
А вот вопрос главного сайта ещё актуален.
Прошу ещё одно уточнение.
Бывает ли такое, чтобы яндекс ошибался? Ведь гугл не жаловался на вирусы? Может быть просто достаточно обновить некоторые (совсем немногие) модули и библиотеки? Так как описываемых файлах выше файлах пока не обнаружилось ничего подозрительного.
А этот модуль hacked - он смотрит на изменения в сравнении с текущей версией модулей на официальном сайте, верно? И если так, то модули, которые нужно обновить в любом случае подсвечиваются красным цветом. Я в правильном направлении?
он показывает код каких модулей был изменен
покажи его отчет
Отчет показать уже не получится. Его смысл сводился к тому, что в некоторых модулях были сделаны изменения. В том числе и в некоторых файлах ядра. Я пытался найти разницу в этих файлах моего сайта и совершенно новенького ядра 6.29. Эти изменения касались только того, что делали разработчики с моей стороны уже действительно давно (около двух лет назад, например, настройки файла robots.txt).
Таким образом я не нашел ответа что именно содержит вирус. Однако, я полностью обновил ядро, сменил пароли FTP доступа и доступа к админке сайта. Спустя некоторое время Яндекс сообщил, что вирусы не обнаружены. Посещаемость сайта начала восстанавливаться.
Ещё нужно будет дообновить ряд модулей и библиотек, чем сейчас и занимаюсь.
Интересные записи были обнаружены в журнале доступа. Как по моему, такие GET запросы кто-то может делать вполне осознанно (неужели роботы дурака валяют), причем IP адрес подобных запросов постоянно меняется.
Посему ещё вопрос к уважаемому сообществу Друпал.
На что похожи эти запросы?
Как защищаться, если это похоже на работу хакеров?
Заранее благодарю.
http://www.revisium.com/ai/
пусть полежит
Тоже хороший комментарий NaZg, спасибо. Я могу Вам ответить примерно похожим:
http://nazamok.com/
Уже лежит.
А по существу? На что это похоже? Ведь журнал и нужен для того, чтобы понимать, что происходит с сайтом.
Бывает и ошибается
вирусы будут, это происки Дриса, чтоб апгрейдились.
остальное Вам уже сказали
поднимите сайт с бакапа или сравните изменённые файлы. можно поискать по дате изменения, хотя на моей практике зловреды меняли дату правки
основные места поиска - htaccess и загружаемые директории
прокурите ещё раз права на папки, если надо, то сбросьте всё в ноль с chmod -R
Спасибо, друзья, за помощь и участие.
Вопрос не по теме. Неужели у Дриса есть время на какие-то специальные "происки"? Зачем? Ведь столько интересной работы по постройке друпала.
Я понимаю, что, возможно некоторым конторам, которые лечат от вирусов сайты, им выгодно, что у людей на сайтах появляются вирусы, так как на "излечении" они зарабатывают. Но даже и у них должно быть много дел помимо вреда. Это делает кто-то третий. Кому это выгодно по другим причинам помимо апгрейда.
Ещё раз спасибо за отклик и помощь советами.
про дриса - юмор, а серьезно - кому это выгодно - апгрейд=спрос=деньги.