- Reklaminis skydelis išsaugotas
- Kategorija: Drupal
Drupal kenksmingi kodai
MALWARE#8687
2016-01-21. Turėjau bėdų. Serverio administracija pranešė, kad tinklapyje su Drupal TVS
yra kenksmingi kodai. Jau nebežinojau, ką daryti. Su Drupal neturiu daug praktikos.
Pradėjau ieškoti pagalbos forume. Atsakymų gavau:
Gali būti "scrambled" failai. Nežinojau, kas tai yra. Paaiškinimą gavau:
1.
<?php $_F=__FILE__;$_X='P0xyP0DDFHfugfgJKFSlfeFpXWjh';$_D=strrev('edoced_46esab');eval($_D('JF9YPWJhc2U2NF9kZWpOyRfUj0wOyRfWD0wOw=='));?>
This example cannot harm your computer because I made the strings by typing random characters.
It it descrambled by the eval($_D() function which decodes the string that is the parameter of $_D.
That will decode and execute the content of $_X.You'll have to use ftp or shell access to find this kind of code.
2. The Hacked module can help you identify files in your codebase that are different from what
was supplied from Drupal.org.
https://www.drupal.org/project/hacked
(Doesn't work on Windows servers, unfortunately)
Use it with the Diff module to show exactly what the differences are:
https://www.drupal.org/project/diff
Laimei man pasisekė anksčiau, nei perskaičiau jų patarimus. Serverio administracija nurodė
kenksmingo failo vietą. /domains/xxxxx.lt/public_html/sites/all/modules/
ctools-7.x -1.0-rc1/ctools/plugins/access/jm_manage.php
Jį ištrynus, problema buvo išspręsta.
3. Ši tarnyba (Sitelock service) gali išvalyti, bet aišku, mokamai. Galima užsakyti nemokamą bandomą
30 d. periodą,
bet jie reikalauja įvesti mokėjimo kortelės numerius. Atseit pažeidus mėnesio tęstinumą (>), jie nebaus
29 doleriais.
Kadangi už kelių dienų (2016-01-25) pranešė apie kitos (ketvirtos) svetainės tame pačiame serveryje
kenkėjiškus kodus,
norėjau užsakyti pirmos ir svarbiausios svetainės patikrinimą, nes ji kaip tik tame pačiame serveryje,
kur yra Drupal (trečioji)
sistemos svetainė. Laimei ketvirtoji buvo nebaigta ir užsakovui kol kas nereikalinga, todėl jos visą
sistemą ištryniau.
Reikia ieškoti kažkokių priemonių kitiems atvejams. Nemokamai skenuoja čia: quttera.com ,
www.virustotal.com, https://hackertarget.com/drupal-security-scan/
tik kažin, ar išvalo :-)
Jei įnešami kenksmingi kodai, arba svetainė nulaužiama, reiktų pasirūpinti automatiniu
backup kopijos pasidarymu.
Apie tai skaityti kitame puslapyje "Drupal backup and migrate"