Взломали сайт на Drupal 6

Главные вкладки

Аватар пользователя TV-Child TV-Child 24 октября 2014 в 18:57

Здравствуйте, уважаемые форумчане! Обращаюсь к вам за помощью! Сайт на Drupal 6 был взломан, теперь при обращении по адресу "сайт.ру/?for_um=/porno-hozyayka" выскавивает фишинговая страничка, имитирующая страницу "форума"(см. приложение). Помогите пожалуйста понять, как злоумышленник взломал сайт и как ликвидировать последствия. И залатать "дыру".
Большое спасибо всем за помощь!

ВложениеРазмер
Иконка изображения vzlom.png373.27 КБ

Комментарии

Аватар пользователя ttenz ttenz 25 октября 2014 в 16:54

не это не отчет, по ходу модуль не может запуститься + у тебя сайт не обновлен.

тогда сделай бекап сайта, базы, удали все папки кроме sites и удаленные папки, файлы замени аналогичными из официального релиза, затем перейди по адресу твой_сайт/update.php и зайди на главную, исчезло ли безобразие.

+ смени пароли админа, выруби фтп.

+ норм хостинг не помешает (it-patrol - там они мониторят ситуацию)

Аватар пользователя TV-Child TV-Child 25 октября 2014 в 16:56

Спасибо, помогло! И вот что ответил Друпал после обновления:

The following queries were executed
color module
Update #6001

No queries

comment module
Update #6004

ALTER TABLE {node_comment_statistics} ADD INDEX comment_count (comment_count)

Update #6005

ALTER TABLE {comments} ADD INDEX comment_uid (uid)
ALTER TABLE {node_comment_statistics} ADD INDEX last_comment_uid (last_comment_uid)

locale module
Update #6007

No queries

До обновления решил проверить, тему на предмет зараженнности. Вот, какое сообщение вылезло, когда первый раз её применял:

warning: call_user_func_array() [function.call-user-func-array]: First argument is expected to be a valid callback, 'comment_display_node_page_view' was given in /home/логин_на_хосте/public_html/сайт.ру/includes/menu.inc on line 350.
warning: call_user_func_array() [function.call-user-func-array]: First argument is expected to be a valid callback, 'comment_display_node_page_view' was given in /home/логин_на_хосте/public_html/сайт.ру/includes/menu.inc on line 350.

После обновления такое сообщение исчезло и всё работает без проблем на старой теме! Спамная страничка исчезла! По заданному урлу (сайт.ру/?for_um=/porno-hozyayka) отображается главная страница. Спасибо огромное за помощь!
З.Ы.
Думаю перелезть на следующий друпал - 7.32.

Аватар пользователя ttenz ttenz 25 октября 2014 в 17:08

проверь ещё раз модулем hacked, зайди на его страничку у себя на сайте, у тебя должно получиться подобное -

+ созданный бэкап прогони антивирусом (http://www.clamav.net/index.html)

+ прогони модулем https://www.drupal.org/project/security_review, должен увидеть типа -

Аватар пользователя TV-Child TV-Child 10 ноября 2015 в 11:49

Результат проверки hacked:

Отчет проверки security_review:

Антивирус Касперского 2012 с последними базами ничего не нашел. Т.к. Каспер у меня был, не стал качать ClamAV.