Левый GET (на посторонний сайт) при работе с админкой Drupal 7

Аватар пользователя Netbioz Netbioz 13 января 2016 в 18:49

Человек сказал что сайт медленно открывается, ну я зашел глянуть что как. Пока не залогинился под админом - все ок. Под админской учеткой ужасно тормозит. Открыл состояние сети и запросов, при каждом обращении к любой админ странице сайт запрашивает скрипт с 89.161.135.84 - imprezy.home.pl/js/jquery.min.php - и это выливается в 6-14 секундную задержку. Айпишник я забанил, и на всякий случай внес в deny его, и еще другие которые засветились в логах, в htaccess.

Сегодня решил продолжить разбирательство и обнаружил что тактика изменилась, запрос точно такой же, с той же структурой, но с другого адреса, теперь это 93.185.104.27 - hejda-geometr.cz, но уже не дожидается получения, а просто висит в фоне

Сразу хочу сказать что сайт с устаревшим друпалом 7.23, пока обновить нельзя. НО, на том же хостинге лежит совершенно новая установленная система с тем же симптомами (7.41) - при активном админе обращение за файлом

Просмотрел файлы на предмет изменений - не заметил ничего странного, в htaccess тоже, в index.php все как должно быть, в файле темы тоже

Подскажите с какой стороны начать поиск

snaggy

Комментарии

Аватар пользователя fairrandir fairrandir 13 января 2016 в 23:33

Поставьте модуль hacked - он покажет модифицированные файлы
Раз затронута только админка - посмотрите tpl файлы темы админки и файл /modules/system/html.tpl.php

Аватар пользователя Netbioz Netbioz 14 января 2016 в 21:36

Спасибо всем за ответы, пока искал файлы тоже наткнулся на hacked, действительно был перезаписан админский шаблон, в нём скрипт который делал запрос на тот адрес в зоне .CZ. В файле /includes/bootstrap.inc был бекдор с паролем. Еще был пропатчен database.inc видимо что бы другие не воспользовались дырой.

Админов новых не создавалось.

Вопрос в том как на систему с 7.41 тоже самое попало, т.к. суть в том, что заражены все сайты под этим хост аккаунтом (hostgator), но они все разделены разными аккаунтами с разными паролями. Проверил другие хосты там все ок, в т.ч. на впсках, собственных сайтах

п.с. Если кому интересно посмотреть исходники бекдора и скрипта могу скинуть для анализа