1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Решение проблем

Сравнение двух бэкапов

Главные вкладки

Аватар пользователя CheetahSun CheetahSun 23 ноября 2017 в 22:26

Бобрый день,
У меня на компьютере есть здоровый бэкап моего сайта на 7.53 и бд, но сейчас сам сайт заразился и появились порно-ссылки внизу главной страницы.
Вопрос: если я сейчас сделаю бекап сайта и бд, я могу как-то сравнить чистую и зараженную копии сайта и то же самое сделать с бд, чтобы увидеть какие файлы отличаются, чтобы удалить вредоносный код?
Надеюсь не сильно запутанно объяснил. Спасибо!

Комментарии

Аватар пользователя Andruxa Andruxa 23 ноября 2017 в 22:37
1

Для кода можно использовать Hacked + Diff - прямо на сайте будут видны изменения в сравнении с исходным кодом.
Или - git: собрать чистый код ядра и модулей, сделать коммит, накатить сверху код с сайта и посмотреть diff.
Или - в линуксах есть meld, попроще чем git.
С базой - вряд ли, исходной не зараженной базы ведь нету.
Можно поискать в дампе базы вхождения <?php | eval | base64_decode | gzuncompress и т.п.

Аватар пользователя Andruxa Andruxa 23 ноября 2017 в 22:46

Тогда в обеих базах лучше удалить таблицы кеша, сессий, сислог и т.д. - они в любом случае будут разными.
Остальное - сравнивать. Можно, конечно, сравнить 2 дампа - но это будет адский труд.

Аватар пользователя Andruxa Andruxa 23 ноября 2017 в 22:44

P.S. - а может кто-нибудь посоветовать сканер php-кода?
Недавно для подобной задачи потребовался, в итоге пользовался rips - но бесплатная версия старая, не умеет в ООП (мне для d6 был нужен) и многовато ложных срабатываний.

Аватар пользователя CheetahSun CheetahSun 23 ноября 2017 в 23:21

И так. Благодаря hacked">https://www.drupal.org/project/hacked]hacked[/module] и diff">https://www.drupal.org/project/diff]diff[/module]
Было обнаружно, что ссылки появляются из-за изменений в файлах .htaccess и index.php
Файлы я заменил на здоровые, но теперь вопрос, как защитить себя в будущем, чтобы это не повторилось и не мешало мне жить..

Аватар пользователя Andruxa Andruxa 23 ноября 2017 в 23:43

Рано радоваться. Сперва надо разобраться, каким образом эти файлы были изменены.
Либо - угон ftp-паролей, либо незакрытые уязвимости Drupal (сейчас последняя версия ядра - 7.56, и следует обновить его) и контриб-модулей.
Либо - php код в контенте, блоках, вьюсах и т.д. Модуль php включен? Формат ввода PHP Code - имеется? Каким ролям он разрешен?

А то иногда бывает и вот так: