Взлом, лечение, помощь в Drupal 7
28 мая 2019 в 14:00
Всем привет.Понятное дело что без денег никто никому помогать не будет и тратить свое время.
Есть сайт на друпал 7. Попадал из-за неопытности на друпалгеддон и далее.Сайт не коммерческий,монетизации нет,делали для себя.Бросать жалко.
Вопрос.Хотя бы кто подскажет все терминологии и как и что сделать или попытаться самому,на начальном уровне.
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Если кратко:
1) Удалить ядро
Да и вообще просканить дамп базы на наличие PHP-вставок
2) Найти и удалить все бэкдоры отдельными файлами
3) Найти и вычистить все бэкдоры в контрибе и кастоме
4) Залить свежее ядро
5) Обновить все контрибные модули и темы
6) Проверить кто может создавать пользователей, удалить "лишних" администраторов
7) Просканить все блоки с PHP-фильтром на наличие бэкдоров
Эх, 2м пришел...
Твой совет прекрасно дополняет мой и vice versa)
Для поиска шеллов/бекдоров не плохой вариант https://www.revisium.com/ai/ .
Реально помогает? Мне раз присылали отчет айболитный, так там только ерунда всякая была, под видом "угроз безопасности" были родные скриптики ядра. Только владельца перепугали этим отчетом.
Реально не помогает, особенно если тот, кто делает отчет не знает как выглядят бэкдоры друпалгеддона.
Я по-началу пробовал им пользоваться, но потом понял, что голова и руки лучше с этим справляются)
Да, у меня те же впечатления после него.
Он работает, если с умом подходить - это однозначно не решение "от всех болезней", само собой, что могут быть и ложные срабатывания, но в качестве одной из мер для поиска (или для перепроверки после остальных) заразы - работает.
Шеллы ищет нормально, по базе лучше вручную искать соотв. запросами.
В целом да - как-то он работает. Но очень так себе. Масса false-positive, масса того, что он найти не может в принципе, как и весь класс этих программ, кстати.
Он может рассматриваться только как дополнительный инструмент, надеяться на него не стоит совершенно.
По базам, конечно, он вообще никак не ищет, как и остальные "сканеры скриптов". А шеллы находит только известные ему фактически, ну и совсем простые за счёт писка по подозрительным конструкциям. При этом база у него, ну так себе, тот же clamav лучше, если свежий.
Зачастую, он просто не стоит времени, которое надо потратить на установку, запуск и анализ отчёта...
1.Что значит удалить ядро? Удалить версию друпал или как? А где тогда файлы чистить?
2.Проверил все файлы ручками.Удалил много чужого кода,удалил подозрительные файлы пшп,вставки с джаваскриптами и т.д.
3.Что такое - контрибе и кастоме.
4.Ну обновить версию друпал это понятно.
5.Обновить модули и темы это понятно.
6.Права все выставлены в нормальном порядке.есть только 1 админ и все.
7.Просканить все блоки с PHP-фильтром на наличие бэкдоров - как это сделать и чем? На вирусдай был,ходил по указанным директориям,чистил файлы и далял бяки.
8.просканить дамп базы на наличие PHP-вставок- как это сделать и чем?
Полностью удалить все файлы и каталоги ядра
Контрибные модули и темы - это те, что с drupal.org
Кастомные - это те, которые писались вручную
Вручную просмотреть все блоки в /admin/structure/block
Выгрузить дамп БД в текстовый файл. Например с помощью PHPMyAdmin
Установите Hacked, пробегитесь им. - Хакед есть,он показывает только мои последние действия,что я делал и что обновлял.
С айболитом никак вот не могу подружиться,видать неправильно лью файлы на хост.
Он должен показывать
у всех проектов. Это значит вы на верном пути.
А где найти - admin/structure/block?
Это путь для адресной строки браузера
Вручную просмотреть все блоки - Что это значит,вернее что там именно нужно смотреть,Где? Что должно насторожить?
Если есть блоки с PHP-фильтром (а у новичков они часто есть), то нужно просмотреть код на наличие бэкдоров
Зашел в хакед,проверил один модуль на измененные файлы и код.Вот скрин.Скажите что это значит. Оригинал и измененный? Нужно что все переправить на оригинал?
Это не модуль, это шаблон из темы оформления. И да, он изменен, но скорее всего разработчиком сайта
Третья строка в отчёте больно похожа на инжект вредоносного кода
Ну тогда у меня вроде все нормально.Сайт я почистил,теперь нет редиректа на бяку.Осталось только на виртуалке правильно накатить 7.67.
Подскажите как спрятать и переименовать админку друпал?мой сайт не предназначен для реги юзеров. Нужно вывести допустим 403 на стр рег для пользователей. Стоит ли для безопасности создать акк второго администратора?
admin/config/people/accounts
Аккаунты создавать могут только администраторы
Я понял.спасибо.а админку можно спрятать и переименовать.если да то как???
На мой взгляд, это уже лишнее - следите за выпусками безопасности, и обновляйте CMS. Это вполне достаточно, при выполнении общих рекомендаций и хороших паролей.
От подбора ip можете защититься https://www.drupal.org/project/captcha или https://www.drupal.org/project/autoban , хотя при условии не стандартного логина и нормального пароля, в этом серьезной необходимости нет.
Не нужно этого делать
Чего именно не нужно делать?
Как ответили выше, лучше капчу поставить. Но менять путь админки не нужно
Вопрос решили?
Какой именно впрос?так то их у меня очень много из непознанного для меня из друпала.с запретом регистрации пользователей да.
Взлом вылечили?
Взлом вроде вылечил.ручками почистил все где знал и как умею.вроде яндекс больше не считает мой сайт вредоносным.вредоносные скрипты не загружаются слава богу.но чувствую что с настройками сайта на друпале и сервере у меня вроде не ахти.осталось обновить кое какие модули и плагины а также тренироваться как правильно накатить версию 7.67. Предыдущие шлм без проблем а тут засада.
А в чем засада-то? Может версия php старая на хостинге?
Пшп 5.45. Засада что пытался обновиться сразу на хосте.обнова встала видно криво.т.к.слетела частично админка меню и зависание 100 на обновлении баз. У меня очень мало опыта.
Обновитесь лучше на локалке, а потом загрузите на хостинг уже обновленные файлы и бд
Если я не ошибаюсь, с какого-то момента 5.6 минимум стало, опять же модули тоже могут не работать на старых версиях пхп....
Ps поддерживается, но не рекомендуется.
Да конечно.теперь буду все на локалке делать.как вы ранее и советовали.