28 марта 2016 в 10:45
Подскажите пожалуйста!
Взломали несколько сайтов в разное время (с сентября 2015 примерно), все drupal7.
Суть взлома: добавляют страницы левые через php и левые ссылки на сайт.
Всё обновила и модули и сам drupal.
Заблокировала код в robots.txt, теперь все левые страницы недоступны
вот некоторые из них
адрес сайта/yourself.php?
адрес сайта/of.php?
адрес сайта/mon.php?
Но все взломанные сайты вылетели из поиска яндекса.
Как вернуть назад поисковые позиции?
Найти и удалить левый код?
Недопустить повторной атаки?
Взломщики выбирали только посещаемые сайты.
Помогите, пожалуйста.
Пароли сложные везде были.
В интернете не нашла выход.
Комментарии
Обнаружить взлом возможно только через Вебмастер по резкому увеличению страниц и ссылок в поиске. Но это уже поздно. И самое странное. Где левый код? Как его найти?
Проверить антивирусом все файлы. Обновить ядро до последней версии. Поставить модуль diff.
Антивирус ничего не находит ни в скачанных файлах, ни антивирус хостинга. Через 3 дня после полного обновления очередной сайт взломан. У меня на хостинг подозрение. Что как-то через него файлы заливаются.
Такая проблема имеет место быть. Как бороться не знаю. Попробуйте поменять хостинг.
а версия друпала какая стоит?
Drupal 7, последнее обновление. Хостинг reg.ru.
это не отве. какая версия стоит сейчас и когда обновлялись в последний раз?
Drupal 7,43 сейчас стоит.
ясно. 12, зеленый, мать стоит плачет, две красных прозрачных линии (кому надо, пойем).
1. стояла старая версия друпала, поломали всех кого можно. потом вы обновились но, осадочек остался.
2. дырка в фтп, кто то вам лазит и пакостит.. только, кому вы сдались..
3. у вас на компе вирусняк, заражает фтп каждый раз после подключения. Были такие случаи в моей практике.
что делать
1. drush up -y
тобишь. обновить все к чертовой матери.
2. hacked + diff
покажет измененные файлы и что в них не так.
3. пройтись по всем папкам sites/all/* и поискать левые файлы. требует навыков и времени
была такая ситуация совсем не давно, только с Джумлой... кто-то по ФТП заливал всякую шнягу... и в файлы ПХП добавлял код... решил следующим способом...
на хостинге в корне создал файл .ftpaccess, в котором запрет на все IP кроме своего...
Order allow,deny
Allow from ::ffff:95.139.160.
Deny from all
</Limit>
где - 95.139.160. - это маска вашего IP...
узнать свой IP и его диапазон можно на сервисе 2ip.ru...
удачи... хостинг REG.RU позволяет создать такой файл... на других хостингах бывает что нет, но можно создать его по протоколу SSH