1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Безопасность

Исправление последствий взлома

Главные вкладки

Аватар пользователя ChesteR_203 ChesteR_203 17 марта 2015 в 20:40

Сайт на D7 был взломан после критической уязвимости - [#113136]http://www.drupal.ru/node/113136[/#]
Полностью заменил ядро и обновился. Удалил файлы которые были созданы злоумышленником, удалил новую роль админа.

Но сейчас обнаружил на сайте скрытые ссылки вида:

<div id="xald"><a href="http://www.asianpeasant.org/with-payday">with payday</a></div>
<script>document.getElementById("xald").style.visibility="hidden";document.getElementById("xald").style.display="none";</script>

и:

<div id="vken"><a href="http://techenzyme.com/pay-day-loans-online-for-bad-credit" rel="nofollow">pay day loans online for bad credit</a></div>
<style type="text/css">
#vken{display:none;visibility:hidden;}</style>

Сейчас нашел еще один файл, дата создания которого совпадает в датой, когда были созданы другие файлы злоумышленников.

Файл: sites\default\files\.htaccess

Содержание:

<?php# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
  # Override the handler again if we're run later in the evaluation list.
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
  php_flag engine off
</IfModule>?>

Прошу подсказки: нужен этот файл в данной папке? Мог ли он стать причиной размещения скрытых ссылок, или нужно копать дальше?

Комментарии

Аватар пользователя vbard vbard 18 марта 2015 в 2:24

"ChesteR_203" wrote:
нужен этот файл в данной папке

да, только теги <?php и ?> там точно лишние

"ChesteR_203" wrote:
Мог ли он стать причиной размещения скрытых ссылок

Теоретически мог даже и он каким-то боком участвовать в злодеяниях, но очевидно же, что первопричиной стала описанная вами уязвимость. Там ещё в таблицу menu_router что-то могли добавить.

Аватар пользователя ChesteR_203 ChesteR_203 18 марта 2015 в 17:53

теги <?php и ?> - каким то образом вставились при копировании кода на сайт. В файле без них Smile

# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
  # Override the handler again if we're run later in the evaluation list.
  SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>

# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
  php_flag engine off
</IfModule>

вот так файл выглядит.

Дело в том, что все по инструкции почистил еще в январе. Нашел файлы со 100% вредоносным кодом созданные 5 декабря 2014 года. Удалили их все.
И только сейчас обнаружил ссылки. Проверил в бекапе от 20.01.2015 ссылок нет.
Сейчас нашел файл вот этот, он создан тоже 5 декабря 2014 года.
Получается он создан злоумышленником. В данной папке либо не должно быть файла .htaccess либо злоумышленник удалил оригинальный и создал новый.
В дистрибутиве чистого друпала 7.34 не нашел такого файла.

Есть ли у других этот файл и что он содержит?

Аватар пользователя shved shved 18 марта 2015 в 19:10

"ChesteR_203" wrote:
Но сейчас обнаружил на сайте скрытые ссылки вида:

Как вам удалось обнаружить скрытые ссылки?

Аватар пользователя ChesteR_203 ChesteR_203 18 марта 2015 в 21:49

shved wrote:
"ChesteR_203" wrote:
Но сейчас обнаружил на сайте скрытые ссылки вида:

Как вам удалось обнаружить скрытые ссылки?

На сайте одни ноды подтягиваются в другие аяксом, вот там и не сработал скрипт скрытия ссылки. Менеджер обнаружил случайно на сайте левую ссылку и сообщил.
Далее сайт был просканирован Xenu Link Sleuth, со страниц где были обнаружены ссылки выявил шаблоны как именно они строены на сайте.
Поиском по базе нашел и удалил (надеюсь что все).