Kenksmingi kodai

Kategorija: Drupal
Atnaujinta: 2016 Birželio 16, Ketvirtadienis 19:12
Peržiūros: 930

Kenksmingi kodai MALWARE#8687

2016-01-21. Turėjau bėdų. Serverio administracija pranešė, kad tinklapyje su Drupla TVS yra kenksmingi kodai. Jau nebežinojau, ką daryti. Su Drupal neturiu daug praktikos. Pradėjau ieškoti pagalbos forume. Atsakymų gavau:

Gali būti "scrambled" failai. Nežinojau, kas tai yra. Paaiškinimą gavau:

1.

<?php $_F=__FILE__;$_X='P0xyP0DDFHfugfgJKFSlfeFpXWjh';$_D=strrev('edoced_46esab');eval($_D('JF9YPWJhc2U2NF9kZWpOyRfUj0wOyRfWD0wOw=='));?>

This example cannot harm your computer because I made the strings by typing random characters. It it descrambled by the eval($_D() function which decodes the string that is the parameter of $_D. That will decode and execute the content of $_X.

You'll have to use ftp or shell access to find this kind of code.

2. The Hacked module can help you identify files in your codebase that are different from what was supplied from Drupal.org.
https://www.drupal.org/project/hacked
(Doesn't work on Windows servers, unfortunately)

Use it with the Diff module to show exactly what the differences are:
https://www.drupal.org/project/diff

Laimei man pasisekė anksčiau, nei perskaičiau jų patarimus. Serverio administracija nurodė kenksmingo failo vietą.
/domains/xxxxx.lt/public_html/sites/all/modules/ctools-7.x -1.0-rc1/ctools/plugins/access/jm_manage.php

Jį ištrynus, problema buvo išspręsta.

3. Ši tarnyba (Sitelock service) gali išvalyti, bet aišku, mokamai. Galima užsakyti nemokamą bandomą 30 d. periodą, bet jie reikalauja įvesti mokėjimo kortelės numerius. Atseit pažeidus mėnesio tęstinumą (>), jie nbaus 29 doleriais.

Kadangi už kelių dienų (2016-01-25) pranešė apie kitos (ketvirtos) svetainės tame pačiame serveryje kenkėjiškus kodus, norėjau užsakyti pirmos ir svarbiausios svetainės patikrinimą, nes ji kaip tik tame pačiame serveryje, kur yra Drupal (trečioji) sistemos svetainė. Laimei ketvirtoji buvo nebaigta ir užsakovui kol kas nereikalinga, todėl jos visą sistemą ištryniau.

Reikia ieškoti kažkokių priemonių kitiems atvejams. Nemokamai skenuoja čia: quttera.com , www.virustotal.com, https://hackertarget.com/drupal-security-scan/

tik kažin, ar išvalo :-)

Patarimai