19 января 2018 в 11:10
Добрый день. Есть 2 сайта на друпале, версия 7.56. Сайты были созданы по одному шаблону, размещены на одном хостинге. В последнее время их стали постоянно ломать (началось все около года назад, но если поначалу это было редко и не смертельно, то сейчас стали ломать каждую неделю). Не знаю, как именно происходит взлом (пароли сложные и на админку, и на хостинг, комп на вирусы регулярно проверяется), но взломщики меняют файлы, прописывая коды, добавляют новые папки и файлы, иногда вообще полностью удаляют все файлы сайта непосредственно с хостинга.
Поскольку сами не разбираемся, после очередного взлома дали задание хостингу все почистить и обновить. Они сделали. Но через неделю ситуация повторилась. Их специалист говорит, что дыры в самой основе друпала и нужно ждать обновлений, где уязвомисти будут устранены. Создавать новые сайты долго и дорого, да и по сути эти полностью устраивают, если бы не взломы!
В связи со всем вышесказанным возникают такие вопросы: 1. Можно ли наше ядро обновить до последней версии (8.4.4) и как это сделать? 2. Если нельзя, то как лучше поступить в этой ситуации?
Комментарии
На данный момент активных "дыр" нет. Иначе сотни-тысячи сайтов были бы заражены, как при друпалгеддоне. Есть вероятность, что у вас бэкдор. В первую очередь проверьте модулем hacked на наличие измененных файлов в ядре и контрибных модулях. Отчет прикрепите к посту
1. Надо сменить все пароли. Возможно где-то что-то утекло. Также надо проверить нет-ли лишних пользователей с админскими привилегиями, и удалить их, если есть.
2. Надо заменить ядро, и все модули скачанными с drupal.org, и проверить все кастомные модули/темы на наличие лишних файлов/включений в файлы и.т.п.
3. На основе владельца добавленных файлов часто можно сделать вывод о том, дыра в приложении или хостинге. Если их владелец не совпадает с пользователем, от которого запущен php, то это наверняка уязвимость хостинга.
4. На 8 вы не обновитесь так просто. Зачастую, такое обновление равноценно созданию нового сайта, и миграции данных. Да и 7 получает обновления безопасности точно так же, это не устаревшая версия.
Просканьте Айболитом, проверьте папку temes, на наличие файлов с весьма необычным\нехарактерным для друпала именами.
Именами кстати в Турции, зараза.
Варианты. По возрастанию вероятности.
1. Ошибки в ядре Drupal. Вами занимаются супер профессиональные хаккеры. Переезд на любую систему ничего не даст. Маловероятно, если Ваша фирма занимается набивкой подушек, стрижкой котов или ремонтом телевизоров.
2. Ошибки на хостинге. Вероятнее, чем пред. вариант. Да, встречается, но не часто.
3. Ошибки дополнительных модулей Drupal. Вполне может быть, что модуль не особо распространен, но Вам он нужен. И не прошел политику безопасности на drupal.org.
4. Ошибки при разработке сайта. Все мы люди, все ошибаемся и формат ввода PHP для комментариев на сайте может реально повеселить его владельца.
5. Может вы и не все пароли сменили. Вижу несколько сайтов, кочующих то на этом форуме то на фриланс-ру, владельцы которых постоянно меняют исполнителей, а за паролями не особо следят.
Это с одного сайта. На второй нужно установить модуль. Хотя скорее всего то же самое будет.
Что? Где? Не вижу
ваш ftp не дырявый?
Аудит проще заказать чем гадать.
Я ставлю на криворуких разработчиков, воровство паролей из фтп-клиента и пароль админа 123
Слишком много ставок.
Почему-то скрин проверки не загружается.
В общем, насчет ядра hacked выдал вот так. Остальные модули в норме.
Drupal core 7.56
17 files changed, 4 files deleted
View details of changes
Включает Barnaul, Block, Color, Contextual links, Dashboard, Database logging, Field, Field SQL storage, Field UI, File, Filter, Help, Image, Kemerovo, List, Locale, Menu, Node, Number, Options, Overlay, PHP filter, Path, RDF, Search, Seven, Start, System, Taxonomy, Text, Update manager, User
Ну дак у вас ядро похакано, 17 измененных файлов. Бэкдор 146%
Если посмотреть на список, то там не бекдор, скорее, а кривые ручки разработчиков просвечивают в полный рост - модули кастомные лежат в /modules же.
Пароли сложные, с цифрами, символами, разнорегистровыми буквами.
А сделать с этим что можно?
1) Сменить пароли на хостинг, сменить пароли на почту, которая к хостингу привязана, сменить пароли админа на сайте. Убедиться, что у админа прописана ваша почта
2) Удалить ядро, кроме каталога sites (где конфиг, темы, модули)
3) Скачать с официального сайта ядро 7.56 и залить его на сайт
4) Снова использовать hacked, чтобы проверить еще контрибные модули на бэкдоры.
5) ООООЧЕНЬ внимательно проверить кастомные темы и модули
Действия похожи как с друпалгеддоном
UPD Борис прав, сначала нужно отделить модули ядра от кастомных.
В общем, работа кропотливая. Готов взяться за оплату
Важно: Нельзя сейчас удалять ядро - по представаленной выше инфе, там лежат рядом кастомные модули! Если не будет бекапа, потом будет их и не найти.
Кстати, и модули ядра могут быть изменены горе разработчиком, а не взломщиком, там с начала надо смотреть подробно изменения все!
Сколько?
У вас всё плохо с сайтом, и там надо наводить порядок до того, как лечить.
Вероятно, вам придётся всё же кого-то разбирающегося в программировании нанять для решения вашей проблемы.
Можете кого-то посоветовать?
Могу посоветовать создать тему, тут в разделе работы, и пообщаться с кандидатами, которые вам ответят.
Понятно. Спасибо.
Я владелец сайтов. Сделать такое самостоятельно нам нереально - просто не хватает знаний. А специалист к которому обратились за консультацией, сказал, что лечению не поддается и нужно создавать новые сайты. Максимум что мы можем сделать сами - бэкап сайта из резервной копии (собственно что после взломов и делали, чтобы сайты хоть как-то работали) и установка модуля по инструкции. Ну может еще что-то подобное по подробному перечню действий.
Поэтому как быть непонятно
"что лечению не поддается и нужно создавать новые сайты" если только ядро хакнуто - звездит
Вообще, вполне мог посмотреть на ситуацию, ужаснуться увиденному, и дать вполне резонный совет. Хотя с той же степенью вероятности просто хотел заработать больше.
Но первый вариант, вот так с ходу, отметать не стоит всё же...
Лучше всего будет перенести на новое (цельное) ядро со всеми вытекающими: хостинг, доступ и т.д.
Не вижу смысла "затыкать дыры".
Пишите, обсудим, поднимем безопасность.
1. Аудит безопасности хостинга. Ставлю на старый дырявый proftpd или что-то вроде. Если это vds/vps - проблема ваша, если нет - хостера. Скорее всего есть смысл сменить хостера.
2. Чистка сайта. Проще всего это делается через создание нового пустого сайта с теми же модулями и удаления/накатывания файлов при сохранении базы данных и прочих картиночек. Чистить руками зараженные файлы и искать лишние резона нет - больше времени с негарантированным результатом.
По ценам в зависимости от того что именно у вас там, но точно не дешевле 1000р даже у школьников, скорее в диапазоне 2000-5000.
Отдельно вариант с модулями не с оф.сайта, разработчика которых нет в пределах досягаемости, тут всё может быть ну очень печально.
хм.. а самую главную дыру указать забыли..
Про клаву и спинку стула шутить не буду-)
Пароли могут утекать и с компов, с которых админят сайт.
Я уж думал что ядро давно не правят кастомы ан нет
Спасибо Андрею (itcrowd72) за оперативные диагностику и лечение сайтов.