Снова взломан сайт! upgraderservices.cf / drupal.js - откуда и как?

Главные вкладки

Аватар пользователя Junegton Junegton 1 июля 2018 в 0:47

На этот раз снова взломали сайт, но уже другой Smile Прям напасть какая-то. Пишу со смайлами, так как уже победил эту чуму.
Значит в чем суть взлома - сайт начал редиректить на некую страницу - я даже не пытался на нее перейти. Просто антивирус стал ругаться и сыпать алертными окошками.

Значит страница с вирусом или еще с чем плохим: upgraderservices.cf / drupal.js
погуглив, понял, что вирус как-то пролез на сайт через watchdog - вроде как на него ссылаются на иностранных сайтах.
[РЕШЕНИЕ]
Полез искать эту дрянь на FTP - как ни странно, только в одном файл он был обнаружен - прописался в конце файла явакодом, файл содержал в имени вроде bootstrap чтот-то там, точно не помню Smile
После удаления этого кода - ситуация не изменилась, сайт продолжал редиректить.

Пришлось прошерстить БД по ключевому слову: upgraderservices.cf и вот тут нашлось 25 совпадений.
2 совпадения пришлись на таблицу block_custom - там вирус создал целых два блока.
23 совпадения пришлись на таблицу watchdog

Решение было простое - зашел под админом на сайт в раздел блоки и нашел там 2 созданных блока с кодом вызывающем редирект. Удалил их прямо из админки - они пропали. Проверил по БД - из таблицы block_custom тоже исчезли (за одно проверяем таблицу block - там не должны остаться следы от удаленных ранее блоков, т.е. можно вообще руками почистить БД не заходя на сайт под админом).

Ну и удаляем записи из watchdog.

Пока все - антивирус перестал ругаться на сайт, все страницы открываются чистыми.

ЗЫ, за одно еще кэш скиньте, а то мало ли зараженные страницы будут висеть в кэше и выдаваться на запросы.

ВОПРОС - как заражение прошло на этот раз? т.е. вирус получил доступ к ФТП - прописавшись в одни из файлов сайта. И получил доступ к БД - создав два блока. Как уберечься от повторного нападения?

За последний месяц, это второй сайт лег от разных вирусов. Как-то совсем слабо. До этого года 2-3 без приключений было.

Комментарии

Аватар пользователя Junegton Junegton 1 июля 2018 в 1:13

Признаюсь, не стояли Smile Давно не заходил на сайт - он информационный статический. Но тут зашел - и на тебе, повод обновиться Smile
Однако вопрос то - как пролезла гадость?

Аватар пользователя Phantom63rus Phantom63rus 1 июля 2018 в 10:41

И с высокой долей вероятности вы недочистили. Пройдитесь утилитой ai-bolit в параноидальном режиме, посмотрите что выдаст. Проверьте бд на наличие пхп-кода. И т.д. и т.п.

Аватар пользователя ivnish ivnish 2 июля 2018 в 9:04
2

Айболит бесполезная фигня в любом режиме. Прогнал айболитом зараженные сайты, он нашел 5% от того, что я вылечил руками и своими утилитами для лечения

Аватар пользователя Phantom63rus Phantom63rus 3 июля 2018 в 14:37

Интересно на примерах что там не ловит, точнее что за вирусня такая, что настолько низкий показатель детектирования. Надо бы разрабам айболита закинуть, пусть в базу добавят.

Аватар пользователя fairrandir fairrandir 3 июля 2018 в 14:40

Есть подозрение, что айболит реагирует на сигнатуры, которые есть у него в базе. Если код после взлома генерится достаточно случайно - фиг что он покажет.

Аватар пользователя demonnet demonnet 2 июля 2018 в 8:47

itcrowd72 wrote:

Через критические уязвимости, заплатки от которых вы своевременно не поставили


заплатки - имеете виду обновления?

Аватар пользователя OldWarrior OldWarrior 3 июля 2018 в 17:37

Из совсем недавних комментов в блоге одного очень известного дизайнера:

Базы данных в WP работают херово.
Магазин запчастей на много миллионов позиций на нем не разместишь, а магазин на несколько тысяч позиций работает только со всяким кешированиием и прочими костылями.
Чемпион по дырявости - друпал. Но и вордпресс не блещет безопасностью.

Каково, а? Но и, мать его, даже вордпресс не блещет. Даже вордпресс, как жить-то дальше с этим? И кто же блещет?
Самое занятное, что это ответ на коммент выше, где другой комментатор невозбранно ругает Джумлу:

...А джумла насколько помню всегда была дырявым корытом, где любая найденная уязвимость тут же оборачивалась взломом сайта.

И вдруг ниже - обана! - чемпион-то Друпал!

Дру-пал-Чем-Пи-Он! Дру-пал-Чем-Пи-Он! Дру-пал-Чем-Пи-Он!

Аватар пользователя Phantom63rus Phantom63rus 5 июля 2018 в 16:36

Сурово то что они половину старых расширений из базы выкинули нафиг. Я за лечение старых джумл даже не берусь, там реально можно просидеть неделю выковыривая вредоносный код из тыщи файлов.

Аватар пользователя Anatolii1309 Anatolii1309 5 июля 2018 в 21:44

Простое решение, своевременное обновление. Если горит, что обновление безопасности значит надо обновлять.
Плюс порты на сервере закрываем и все сайты рядом также должны быть в порядке.
Обновляем модули и ядро. С 7 на 8.