Взлом сайта

Главные вкладки

Аватар пользователя xml xml 15 августа 2009 в 18:13

Постоянно идет подмена index.php (дописывают в конец фрэйм). По нескольку раз в день. Обновил до 6.13 - не помогает. Сайты на разных хостингах - ломают и тот и другой. Кто сталкивался? Есть мысли?

Комментарии

Аватар пользователя gor gor 15 августа 2009 в 18:43

мысли есть, обновите антивирусную базу и проверте комп на трояны и вирусы.
Удалите все пароли что сохранены в вашем ftp клиенте, и измените их на хостинге.

Аватар пользователя VladoMire VladoMire 15 августа 2009 в 19:44

Это случается не только на Drupal. И действительно связана с троянами и вирусами действующими через ftp.

Я в таком случае на файлы index.php убирал права на запись полностью.

Правда потом, если приходилось обновлять эти файлы, опять разрешал пока происходило обновление.
Но это мера помогала всегда. Видимо эти трояны и вирусы ориентированы исключительно на индексные файлы.

Если у кого есть опыт, хотелось бы услышать другие вариации, ведь никто не застрахован от такого вмешательства.

Аватар пользователя gor gor 15 августа 2009 в 20:13

VladoMire wrote:

Если у кого есть опыт, хотелось бы услышать другие вариации, ведь никто не застрахован от такого вмешательства.

- всегда проверять то, что скачиваеш с сети, смотришь с СД или флешки на вирусы
- регулярно обновлять антивирусные базы
- не открывать письма от неизвестных людей.
ИЛИ
- не пользоваться ОС подверженной вирусным и троянским атакам.

Аватар пользователя Dmitry Loki Dmitry Loki 16 августа 2009 в 10:12

Просто поменяйте пароль на аккаунт и все.. Пароли такие типы троянов обычно передают на сервер и уже оттуда меняются содержимые index.php

Аватар пользователя abarmot abarmot 17 августа 2009 в 8:25

1) для девелоперских целей использовать не Windows системы (трояны не будут пароли тырить)
2) регулярно менять пароли (1 в 2 недели например)
3) пароли составлять "нормальные" типа fd#F__1221dfa*

для параноиков:
не использовать FTP, а работать через SSH с генерацией ключей.

Аватар пользователя igrok54 igrok54 8 октября 2009 в 10:48

В модуле IMCE уязвимость - при переходе в папку, расположенную выше, нет ограничения на количество переходов, точнее говоря не определена самая верхняя папка, выше которой нельзя подняться. Соответственно, становятся доступны все директории на сервере... Дальше понятно.
Как устранить - код пока не копал, так как проект делаю на локалке, дойдет до заливки на сервер, добавлю в код что-нибудь типа:

<?php
if($dir!=='путь к скрипту/sites/all/files/') {
вывод ссылки перейти на уровень выше...
}
?>

код писал от фонаря, $dir может называться по другому, надо смотреть в коде IMCE вывод ссылки на переход в вышестоящую папку.

Позднее:
Так как незнаю, каким методом и что передает скрипт в ссылке на переход в вышестоящую папку, подумал, что:
Точнее даже будет проверять путь к папке в которую делается переход используя функцию strstr на наличие в пути '/sites/all/files/' и при несоответствии изменять запрошенный путь на путь к вехней разрешенной папке.