Взлом, лечение, помощь в Drupal 7

Аватар пользователя николай3 николай3 28 мая в 14:00

Всем привет.Понятное дело что без денег никто никому помогать не будет и тратить свое время.
Есть сайт на друпал 7. Попадал из-за неопытности на друпалгеддон и далее.Сайт не коммерческий,монетизации нет,делали для себя.Бросать жалко.
Вопрос.Хотя бы кто подскажет все терминологии и как и что сделать или попытаться самому,на начальном уровне.

0 Thanks

Комментарии

Аватар пользователя ivnish ivnish 28 мая в 14:58

Если кратко:

1) Удалить ядро
2) Найти и удалить все бэкдоры отдельными файлами
3) Найти и вычистить все бэкдоры в контрибе и кастоме
4) Залить свежее ядро
5) Обновить все контрибные модули и темы
6) Проверить кто может создавать пользователей, удалить "лишних" администраторов
7) Просканить все блоки с PHP-фильтром на наличие бэкдоров
Dirol Да и вообще просканить дамп базы на наличие PHP-вставок

Аватар пользователя bumble bumble 28 мая в 15:00
  • Установите Hacked, пробегитесь им.
  • Удалите и залейте свежие, официальные релизы ядра, модулей, тем (все, кроме папок "sites/*", если "по правильному" все сделано было).
  • Обновите БД.
  • Перешерстите все не удаленные файлы.
  • Если используется PHP filter - смотрите еще и базу, и все места его использования (ноды, блоки, вьюхи)...
  • Следите за выходом обновлений и применяйте лучшие практики безопасного ведения проектов.
Аватар пользователя bumble bumble 28 мая в 15:41

Реально помогает? Мне раз присылали отчет айболитный, так там только ерунда всякая была, под видом "угроз безопасности" были родные скриптики ядра. Только владельца перепугали этим отчетом.

Аватар пользователя ivnish ivnish 28 мая в 15:52

Реально не помогает, особенно если тот, кто делает отчет не знает как выглядят бэкдоры друпалгеддона.

Я по-началу пробовал им пользоваться, но потом понял, что голова и руки лучше с этим справляются)

Аватар пользователя Evgeny S Evgeny S 28 мая в 16:04
1

Он работает, если с умом подходить - это однозначно не решение "от всех болезней", само собой, что могут быть и ложные срабатывания, но в качестве одной из мер для поиска (или для перепроверки после остальных) заразы - работает.
Шеллы ищет нормально, по базе лучше вручную искать соотв. запросами.

Аватар пользователя bsyomov bsyomov 3 июня в 11:22

В целом да - как-то он работает. Но очень так себе. Масса false-positive, масса того, что он найти не может в принципе, как и весь класс этих программ, кстати.
Он может рассматриваться только как дополнительный инструмент, надеяться на него не стоит совершенно.

По базам, конечно, он вообще никак не ищет, как и остальные "сканеры скриптов". А шеллы находит только известные ему фактически, ну и совсем простые за счёт писка по подозрительным конструкциям. При этом база у него, ну так себе, тот же clamav лучше, если свежий.

Зачастую, он просто не стоит времени, которое надо потратить на установку, запуск и анализ отчёта...

Аватар пользователя николай3 николай3 29 мая в 8:50

1.Что значит удалить ядро? Удалить версию друпал или как? А где тогда файлы чистить?
2.Проверил все файлы ручками.Удалил много чужого кода,удалил подозрительные файлы пшп,вставки с джаваскриптами и т.д.
3.Что такое - контрибе и кастоме.
4.Ну обновить версию друпал это понятно.
5.Обновить модули и темы это понятно.
6.Права все выставлены в нормальном порядке.есть только 1 админ и все.
7.Просканить все блоки с PHP-фильтром на наличие бэкдоров - как это сделать и чем? На вирусдай был,ходил по указанным директориям,чистил файлы и далял бяки.
8.просканить дамп базы на наличие PHP-вставок- как это сделать и чем?

Аватар пользователя ivnish ivnish 29 мая в 8:53

1.Что значит удалить ядро? Удалить версию друпал или как? А где тогда файлы чистить?

Полностью удалить все файлы и каталоги ядра

3.Что такое - контрибе и кастоме.

Контрибные модули и темы - это те, что с drupal.org
Кастомные - это те, которые писались вручную

7.Просканить все блоки с PHP-фильтром на наличие бэкдоров - как это сделать и чем?

Вручную просмотреть все блоки в /admin/structure/block

8.просканить дамп базы на наличие PHP-вставок- как это сделать и чем?

Выгрузить дамп БД в текстовый файл. Например с помощью PHPMyAdmin

Аватар пользователя николай3 николай3 29 мая в 8:53

Установите Hacked, пробегитесь им. - Хакед есть,он показывает только мои последние действия,что я делал и что обновлял.
С айболитом никак вот не могу подружиться,видать неправильно лью файлы на хост.

Аватар пользователя ivnish ivnish 29 мая в 8:55

Установите Hacked, пробегитесь им. - Хакед есть,он показывает только мои последние действия,что я делал и что обновлял.

Он должен показывать

у всех проектов. Это значит вы на верном пути.

Аватар пользователя николай3 николай3 29 мая в 9:10

Вручную просмотреть все блоки - Что это значит,вернее что там именно нужно смотреть,Где? Что должно насторожить?

Аватар пользователя ivnish ivnish 29 мая в 9:11

Если есть блоки с PHP-фильтром (а у новичков они часто есть), то нужно просмотреть код на наличие бэкдоров

Аватар пользователя николай3 николай3 29 мая в 9:26

Зашел в хакед,проверил один модуль на измененные файлы и код.Вот скрин.Скажите что это значит. Оригинал и измененный? Нужно что все переправить на оригинал?

Аватар пользователя ivnish ivnish 29 мая в 9:28

Это не модуль, это шаблон из темы оформления. И да, он изменен, но скорее всего разработчиком сайта

Аватар пользователя николай3 николай3 29 мая в 9:31

Ну тогда у меня вроде все нормально.Сайт я почистил,теперь нет редиректа на бяку.Осталось только на виртуалке правильно накатить 7.67.

Аватар пользователя николай3 николай3 31 мая в 0:15

Подскажите как спрятать и переименовать админку друпал?мой сайт не предназначен для реги юзеров. Нужно вывести допустим 403 на стр рег для пользователей. Стоит ли для безопасности создать акк второго администратора?

Аватар пользователя Evgeny S Evgeny S 31 мая в 5:05

На мой взгляд, это уже лишнее - следите за выпусками безопасности, и обновляйте CMS. Это вполне достаточно, при выполнении общих рекомендаций и хороших паролей.
От подбора ip можете защититься https://www.drupal.org/project/captcha или https://www.drupal.org/project/autoban , хотя при условии не стандартного логина и нормального пароля, в этом серьезной необходимости нет.

Аватар пользователя николай3 николай3 31 мая в 10:32

Какой именно впрос?так то их у меня очень много из непознанного для меня из друпала.с запретом регистрации пользователей да.

Аватар пользователя николай3 николай3 31 мая в 10:37

Взлом вроде вылечил.ручками почистил все где знал и как умею.вроде яндекс больше не считает мой сайт вредоносным.вредоносные скрипты не загружаются слава богу.но чувствую что с настройками сайта на друпале и сервере у меня вроде не ахти.осталось обновить кое какие модули и плагины а также тренироваться как правильно накатить версию 7.67. Предыдущие шлм без проблем а тут засада.

Аватар пользователя николай3 николай3 31 мая в 12:38

Пшп 5.45. Засада что пытался обновиться сразу на хосте.обнова встала видно криво.т.к.слетела частично админка меню и зависание 100 на обновлении баз. У меня очень мало опыта.

Аватар пользователя ivnish ivnish 31 мая в 13:40

Обновитесь лучше на локалке, а потом загрузите на хостинг уже обновленные файлы и бд