Взлом сайтов на друпал-7

Аватар пользователя Егор Шилов Егор Шилов 19 января 2018 в 11:10

Добрый день. Есть 2 сайта на друпале, версия 7.56. Сайты были созданы по одному шаблону, размещены на одном хостинге. В последнее время их стали постоянно ломать (началось все около года назад, но если поначалу это было редко и не смертельно, то сейчас стали ломать каждую неделю). Не знаю, как именно происходит взлом (пароли сложные и на админку, и на хостинг, комп на вирусы регулярно проверяется), но взломщики меняют файлы, прописывая коды, добавляют новые папки и файлы, иногда вообще полностью удаляют все файлы сайта непосредственно с хостинга.
Поскольку сами не разбираемся, после очередного взлома дали задание хостингу все почистить и обновить. Они сделали. Но через неделю ситуация повторилась. Их специалист говорит, что дыры в самой основе друпала и нужно ждать обновлений, где уязвомисти будут устранены. Создавать новые сайты долго и дорого, да и по сути эти полностью устраивают, если бы не взломы!
В связи со всем вышесказанным возникают такие вопросы: 1. Можно ли наше ядро обновить до последней версии (8.4.4) и как это сделать? 2. Если нельзя, то как лучше поступить в этой ситуации?

0 Thanks

Лучший ответ

Аватар пользователя Егор Шилов Егор Шилов 21 января 2018 в 9:58
1

Спасибо Андрею (itcrowd72) за оперативные диагностику и лечение сайтов.

Комментарии

Аватар пользователя itcrowd72 itcrowd72 19 января 2018 в 11:39

На данный момент активных "дыр" нет. Иначе сотни-тысячи сайтов были бы заражены, как при друпалгеддоне. Есть вероятность, что у вас бэкдор. В первую очередь проверьте модулем hacked на наличие измененных файлов в ядре и контрибных модулях. Отчет прикрепите к посту

Аватар пользователя bsyomov bsyomov 19 января 2018 в 11:22

1. Надо сменить все пароли. Возможно где-то что-то утекло. Также надо проверить нет-ли лишних пользователей с админскими привилегиями, и удалить их, если есть.

2. Надо заменить ядро, и все модули скачанными с drupal.org, и проверить все кастомные модули/темы на наличие лишних файлов/включений в файлы и.т.п.

3. На основе владельца добавленных файлов часто можно сделать вывод о том, дыра в приложении или хостинге. Если их владелец не совпадает с пользователем, от которого запущен php, то это наверняка уязвимость хостинга.

4. На 8 вы не обновитесь так просто. Зачастую, такое обновление равноценно созданию нового сайта, и миграции данных. Да и 7 получает обновления безопасности точно так же, это не устаревшая версия.

Аватар пользователя Studio VIZA Studio VIZA 19 января 2018 в 11:29

Просканьте Айболитом, проверьте папку temes, на наличие файлов с весьма необычным\нехарактерным для друпала именами.
Именами кстати в Турции, зараза.

Аватар пользователя VasyOK VasyOK 19 января 2018 в 11:38
1

Варианты. По возрастанию вероятности.

1. Ошибки в ядре Drupal. Вами занимаются супер профессиональные хаккеры. Переезд на любую систему ничего не даст. Маловероятно, если Ваша фирма занимается набивкой подушек, стрижкой котов или ремонтом телевизоров.

2. Ошибки на хостинге. Вероятнее, чем пред. вариант. Да, встречается, но не часто.

3. Ошибки дополнительных модулей Drupal. Вполне может быть, что модуль не особо распространен, но Вам он нужен. И не прошел политику безопасности на drupal.org.

4. Ошибки при разработке сайта. Все мы люди, все ошибаемся и формат ввода PHP для комментариев на сайте может реально повеселить его владельца.

5. Может вы и не все пароли сменили. Вижу несколько сайтов, кочующих то на этом форуме то на фриланс-ру, владельцы которых постоянно меняют исполнителей, а за паролями не особо следят.

Аватар пользователя Semantics Semantics 19 января 2018 в 11:56

Аудит проще заказать чем гадать.

Я ставлю на криворуких разработчиков, воровство паролей из фтп-клиента и пароль админа 123

Аватар пользователя Егор Шилов Егор Шилов 19 января 2018 в 12:23

В общем, насчет ядра hacked выдал вот так. Остальные модули в норме.

Drupal core 7.56
17 files changed, 4 files deleted
View details of changes
Включает Barnaul, Block, Color, Contextual links, Dashboard, Database logging, Field, Field SQL storage, Field UI, File, Filter, Help, Image, Kemerovo, List, Locale, Menu, Node, Number, Options, Overlay, PHP filter, Path, RDF, Search, Seven, Start, System, Taxonomy, Text, Update manager, User

Аватар пользователя bsyomov bsyomov 19 января 2018 в 12:31

Если посмотреть на список, то там не бекдор, скорее, а кривые ручки разработчиков просвечивают в полный рост - модули кастомные лежат в /modules же.

Аватар пользователя itcrowd72 itcrowd72 19 января 2018 в 12:36
1

1) Сменить пароли на хостинг, сменить пароли на почту, которая к хостингу привязана, сменить пароли админа на сайте. Убедиться, что у админа прописана ваша почта
2) Удалить ядро, кроме каталога sites (где конфиг, темы, модули)
3) Скачать с официального сайта ядро 7.56 и залить его на сайт
4) Снова использовать hacked, чтобы проверить еще контрибные модули на бэкдоры.
5) ООООЧЕНЬ внимательно проверить кастомные темы и модули

Действия похожи как с друпалгеддоном

UPD Борис прав, сначала нужно отделить модули ядра от кастомных.

В общем, работа кропотливая. Готов взяться за оплату

Аватар пользователя bsyomov bsyomov 19 января 2018 в 12:35

Важно: Нельзя сейчас удалять ядро - по представаленной выше инфе, там лежат рядом кастомные модули! Если не будет бекапа, потом будет их и не найти.
Кстати, и модули ядра могут быть изменены горе разработчиком, а не взломщиком, там с начала надо смотреть подробно изменения все!

Аватар пользователя bsyomov bsyomov 19 января 2018 в 12:38

У вас всё плохо с сайтом, и там надо наводить порядок до того, как лечить.
Вероятно, вам придётся всё же кого-то разбирающегося в программировании нанять для решения вашей проблемы.

Аватар пользователя bsyomov bsyomov 19 января 2018 в 12:44
1

Могу посоветовать создать тему, тут в разделе работы, и пообщаться с кандидатами, которые вам ответят.

Аватар пользователя Егор Шилов Егор Шилов 19 января 2018 в 12:40

Я владелец сайтов. Сделать такое самостоятельно нам нереально - просто не хватает знаний. А специалист к которому обратились за консультацией, сказал, что лечению не поддается и нужно создавать новые сайты. Максимум что мы можем сделать сами - бэкап сайта из резервной копии (собственно что после взломов и делали, чтобы сайты хоть как-то работали) и установка модуля по инструкции. Ну может еще что-то подобное по подробному перечню действий.
Поэтому как быть непонятно

Аватар пользователя VasyOK VasyOK 19 января 2018 в 13:05

"что лечению не поддается и нужно создавать новые сайты" если только ядро хакнуто - звездит

Аватар пользователя bsyomov bsyomov 19 января 2018 в 13:46
1

Вообще, вполне мог посмотреть на ситуацию, ужаснуться увиденному, и дать вполне резонный совет. Хотя с той же степенью вероятности просто хотел заработать больше.

Но первый вариант, вот так с ходу, отметать не стоит всё же...

Аватар пользователя adano adano 19 января 2018 в 14:40
Егор Шилов wrote:

то как лучше поступить в этой ситуации?

Лучше всего будет перенести на новое (цельное) ядро со всеми вытекающими: хостинг, доступ и т.д.
Не вижу смысла "затыкать дыры".
Пишите, обсудим, поднимем безопасность.

Аватар пользователя Phantom63rus Phantom63rus 19 января 2018 в 17:12

1. Аудит безопасности хостинга. Ставлю на старый дырявый proftpd или что-то вроде. Если это vds/vps - проблема ваша, если нет - хостера. Скорее всего есть смысл сменить хостера.

2. Чистка сайта. Проще всего это делается через создание нового пустого сайта с теми же модулями и удаления/накатывания файлов при сохранении базы данных и прочих картиночек. Чистить руками зараженные файлы и искать лишние резона нет - больше времени с негарантированным результатом.

По ценам в зависимости от того что именно у вас там, но точно не дешевле 1000р даже у школьников, скорее в диапазоне 2000-5000.

Отдельно вариант с модулями не с оф.сайта, разработчика которых нет в пределах досягаемости, тут всё может быть ну очень печально.

Аватар пользователя Orion76 Orion76 20 января 2018 в 8:10

хм.. а самую главную дыру указать забыли..
Про клаву и спинку стула шутить не буду-)
Пароли могут утекать и с компов, с которых админят сайт.