Здравствуйте, недавно появилась такая проблема.
Кто-то ломает сайт на Drupal.
Если подробнее то происходит это так(из того что удалось отследить).
1. Злоумышненник каким-то образом добавляет в ноду скрипт с php кодом, ставит формат ноды php, хотя это ролям делать запрещено.
2. Потом как это обычно делается - вызывается эта нода, в неё c помощью POST отправляются данные с вредоносным кодом, который распаковывается через eval() в изначально залитом в ноду скрипте.
Т.к. код находится на сайте - злоумышленник просто выполянет в залитом коде db_query() и делает все что ему вздумается.
Уже долго не могу понять как он это делает. Подскажите пожалуйста что можно с этим сделать.
Доступ к ?q=admin в .htaccess редиректит на fsb.ru.
В файлах изменений нет, проверяю регулярно на всякий случай, с правами на файлы все ок, в этом уверен.
Друпал 6.x последний, за время атак 1 раз обновил.
От phpfilter отказаться не могу т.к. на нем сделан некоторый функционал. Увы... Это легко могло бы решить проблему, но нужен другой способ.
Прокси с которых ходит злоумышленник попадают после атак в правила файервола.
К cron.php попасть нельзя, редиректит на fsb.ru
Напрямую постом не шлют код, только в зашифорованном виде для eval.
При заливе первого скрипта, не обращаются к файлу index.php. (Логирую содержимое массивов GET и POST).
Вот это вижу в htaccess