27 марта 2016 в 1:07
Здравствуйте! Сайт работает несколько лет и все было раньше нормально. Последние недели 2 происходит постоянный взлом сайта. Это выражается в замене администраторского ника, который отражается в публикуемых новостях и соответственно смена пароля. Почта админская не меняется. Восстанавливаю доступ чуть ли не через день. Как можно предотвратить взлом? Что интересно ник меняется на zenno. Т.е. все новости имеют этот ник. Из этого был сделан вывод, что взлом, возможно, происходит при помощи программного обеспечения Zennoposter 5. На сайте есть капча (математические примеры), видимой ссылки на форму авторизации нет, пароли устанавливаю очень длинные и сложные. Как еще с этим можно бороться? И еще один важный вопрос: можно ли установить, с какого IP идет взлом? Есть нехорошие предположения...
Заранее спасибо!
Комментарии
Журнал смотрите. Ядро обновляйте. И пароль ставьте сложней.
Подскажите, пожалуйста, где именно этот журнал находится? Cron logs в отчетах? Но там никакой особой информации нет... Или это Логи и ошибки в разделе Конфигурация - > Разработка?
Один друпаловский admin/reports/dblog. Другой серверный у меня лежит в /var/logs/имядомена, где у вас не знаю.
По друпаловскому адресу у меня раздел Отчеты. Что именно нужно посмотреть? В Cron logs ничего особенного кроме списка каких-то посекундных дат нет.
Отчёт о состоянии
Доступные обновления
Cron logs
Google Analytics Summary
System Charts
Yandex.Webmaster
Плагины представлений
Сводный отчет Яндекс.Метрики
Список полей во всех сущностях.
На сервере есть файл log с именем домена, но он имеет расширение RU. При помощи чего можно открыть этот файл?
Серверный файл открыть получилось, но он устаревший, завтра только на работе смогу посмотреть свежий лог. По поводу друпаловского лога вопрос остаётся.
сегодня атака на друпал 7.44 у меня взломали ресурс терросты какие то
В 99% случаев достаточно переехать на нормальный хостинг где следят за безопасностью и знают что такое drupal) Дешевле чем нанимать спеца который вам будет все вычищать.
Мы буквально вчера очередной сайт перевезли так к себе, обновили, кое-что починили внутри, + нормальные настройки сервера, все, проблема исчезла.
В целом в большинстве случаев:
1. Обновить drupal и модули. пройтись модулем hacked на предмет включений в код, найденное переписать чистым модулем.
2. Сменить реквизиты для ftp/ssh/админки/панелек хостинга/базы
3. Пройтись на своей машинке (если у вас windows) на предмет троянцев, могут например дергать пароль ftp на вашей стороне.
4. Пройтись по настройкам комментариев и т.п. контента, дабы не было ни у кого прав на публикацию с php/js кодом.
5. Написать хостеру "алярма, ломают", пусть поднимет серверные логи, им будет проще увидеть, например, ssh сессию с свежего ip.