1 июля 2018 в 0:47
На этот раз снова взломали сайт, но уже другой 
Прям напасть какая-то. Пишу со смайлами, так как уже победил эту чуму.
Значит в чем суть взлома - сайт начал редиректить на некую страницу - я даже не пытался на нее перейти. Просто антивирус стал ругаться и сыпать алертными окошками.
Значит страница с вирусом или еще с чем плохим: upgraderservices.cf / drupal.js
погуглив, понял, что вирус как-то пролез на сайт через watchdog - вроде как на него ссылаются на иностранных сайтах.
[РЕШЕНИЕ]
Полез искать эту дрянь на FTP - как ни странно, только в одном файл он был обнаружен - прописался в конце файла явакодом, файл содержал в имени вроде bootstrap чтот-то там, точно не помню
После удаления этого кода - ситуация не изменилась, сайт продолжал редиректить.
Пришлось прошерстить БД по ключевому слову: upgraderservices.cf и вот тут нашлось 25 совпадений.
2 совпадения пришлись на таблицу block_custom - там вирус создал целых два блока.
23 совпадения пришлись на таблицу watchdog
Решение было простое - зашел под админом на сайт в раздел блоки и нашел там 2 созданных блока с кодом вызывающем редирект. Удалил их прямо из админки - они пропали. Проверил по БД - из таблицы block_custom тоже исчезли (за одно проверяем таблицу block - там не должны остаться следы от удаленных ранее блоков, т.е. можно вообще руками почистить БД не заходя на сайт под админом).
Ну и удаляем записи из watchdog.
Пока все - антивирус перестал ругаться на сайт, все страницы открываются чистыми.
ЗЫ, за одно еще кэш скиньте, а то мало ли зараженные страницы будут висеть в кэше и выдаваться на запросы.
ВОПРОС - как заражение прошло на этот раз? т.е. вирус получил доступ к ФТП - прописавшись в одни из файлов сайта. И получил доступ к БД - создав два блока. Как уберечься от повторного нападения?
За последний месяц, это второй сайт лег от разных вирусов. Как-то совсем слабо. До этого года 2-3 без приключений было.
Комментарии
Критические обновление устанавливать не забываете-то?
Признаюсь, не стояли
Давно не заходил на сайт - он информационный статический. Но тут зашел - и на тебе, повод обновиться 
Однако вопрос то - как пролезла гадость?
Через критические уязвимости, заплатки от которых вы своевременно не поставили
И с высокой долей вероятности вы недочистили. Пройдитесь утилитой ai-bolit в параноидальном режиме, посмотрите что выдаст. Проверьте бд на наличие пхп-кода. И т.д. и т.п.
Айболит бесполезная фигня в любом режиме. Прогнал айболитом зараженные сайты, он нашел 5% от того, что я вылечил руками и своими утилитами для лечения
И что же это за секретные утилиты?;)
Айболит показывает проблемные места, дальше руками.
Самопис.
Интересно на примерах что там не ловит, точнее что за вирусня такая, что настолько низкий показатель детектирования. Надо бы разрабам айболита закинуть, пусть в базу добавят.
Есть подозрение, что айболит реагирует на сигнатуры, которые есть у него в базе. Если код после взлома генерится достаточно случайно - фиг что он покажет.
А как поставить антивирус на сайт?
заплатки - имеете виду обновления?
Да. В версии 7.59 закрыли эту убер-уязвимость, которую зовут друпалгеддон2
Из совсем недавних комментов в блоге одного очень известного дизайнера:
Каково, а? Но и, мать его, даже вордпресс не блещет. Даже вордпресс, как жить-то дальше с этим? И кто же блещет?
Самое занятное, что это ответ на коммент выше, где другой комментатор невозбранно ругает Джумлу:
И вдруг ниже - обана! - чемпион-то Друпал!
Дру-пал-Чем-Пи-Он! Дру-пал-Чем-Пи-Он! Дру-пал-Чем-Пи-Он!
Сейчас уже не найду, но у джумлы в описании security фикса было что-то типа:
Less Critical: Remote Code Execution. Versions affected: 1.6 - 3.4
Сурово. А какая у них нынче актуальная?
Сурово то что они половину старых расширений из базы выкинули нафиг. Я за лечение старых джумл даже не берусь, там реально можно просидеть неделю выковыривая вредоносный код из тыщи файлов.
Простое решение, своевременное обновление. Если горит, что обновление безопасности значит надо обновлять.
Плюс порты на сервере закрываем и все сайты рядом также должны быть в порядке.
Обновляем модули и ядро. С 7 на 8.