19 февраля 2016 в 14:38
На сайт напала напасть all_wplink
прописывает свой код после !--EOF:page--
то есть после шаблона страницы.
В каких системных файлах может лежать вредоносный скрипт, который отрабатывает после формирования страницы и до закрывающего тега html?
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
Тему слейте на комп, и прошерстите поиском в нотепаде.
в любых включая левые файлы в папках сервера
Это не в файлах темы. Где то в исполняемых файла. Я не знаком с порядком работы скриптов, поэтому не знаю, какая обработка идет после включения шаблона страницы. На другом шаблоне после этого скрипта идет еще куча закрывающих div. То есть может вставляться перед вставкой шаблона страницы в основной внешний шаблон
Подобное скорее всего лежит где-нибудь в БД, то бишь, вредоносный код может находиться в каком-нибудь блоке с PHP фильтром(особенно, если вы его не включали, а он оказался включен), или еще где-то, откуда возможен вызов обработки PHP(встречал подобное несколько раз)
На тему слива к себе на комп и поиск - в случае с друпалом обычно бессмысленно(в отличии от битрикса), т.к. при нормальных обстоятельствах, друпал не имеет доступ на запись в "самого себя" и доступ имеет лишь, в зависимости от ситуации, к 1-5 папкам, которые достаточно прошерстить просто на тему PHP/JS(левых, хотя если снести кеш, то можно всех)/HTML(или еще какой-нибудь фигни, выполняемой Вашим сервером) файлов, которые, могут выполняться, в случае некоторых конфигов сервера, и используются обычно для спам рассылок/получения админа, кроме того, нужен образец именно вредоносного кода(обычно он "запакован"), вместо результатов его работы. Но возможно всякое.
Часто лечится заменой всех файлов сайта, обновлением на последнюю версию.
я в друпале пока не очень разбираюсь. можно заменить все, кроме папки с шаблонами?
кроме папки "sites". ну и всякие свои robots.txt и подтверждения поисковиков оставить можно.
Разрабы вредоносов уже давно прокоцали эту тему и льют левые файлы именно в папки модулей. Потом при обновлении старые файлы модуля заменяются, а лишние обновлением не затрагиваются и продолжают вредить. Причём вызываться они могут удалённо по прямой ссылке (после их удаления всегда сыпятся ошибки в журнал о ненайденных страницах). Именно поэтому нужно удалить ядро и абсолютно все модули и залить их из репозитория заново. Как вариант, создать на локалке сайт-пустышку и через drush подтянуть на него весь список модулей, а потом скопом перелить на рабочий сайт.
И ещё: все картинки нужно просмотреть на предмет "битости". Как вариант - слить на локалку и смотреть эскизы. У битых картинок эскизов не будет. Один раз встретил такое - пхп-код в файле с расширением jpg. Идеальное место спрятать реально палевный код, чтобы подгружать его потом инклюдом.
Сами вредоносы не пишут, ибо ввиду ограничений безопасности друпала это не имеет смысла, и обычно невозможно, однако, сами хакеры иногда анализируют систему для того, чтобы использовать её в своих целях, кроме того, бывает взлом через FTP/SSH/и т.д.(при том, украсть первый особой сложности не составляет, а в случае, если каким-то образом сперли рута(SSH), то там уже не сайт надо спасать..., хотя мне такое, тфу тфу тфу, не попадалось при том, что мне не однократно давали доступ к серверу через SSH с логином root и без какой-либо защиты от брута, и так работает 80% VPS, а потом народ на форумах жалуется, что мол взломали VPS и во всем виноват хостинг...), но это скорее исключения, чем правило, однако, лично я всегда перестраховываюсь.
На тему jpg да и прочего хлама - для самого сайта, при нормальной его работе, угрозы не представляет, и если сайт настроен верно, то php там не выполнится, а все остальное обычно действует на клиента(для винды обычно сразу заражение, а для андроида, как правило, просят поставить некое приложение с преферансом и дамами, остальным вроде бы с высокой колокольни), за что хостинг сам закроет доступ к сайту, и вернет его, только в случае устранения проблемы. Вдобавок вредоносный код, именно клиента, обычно заливают специально, соответственно, стараются как можно глубже внедриться в систему, иначе он попросту не будет работать, потому см параграф выше.
Да, встречал такие сайты, которые пытаются какую-то дрянь установить на машину. Но бывает всё более безобидно - могут рассылать с хостинга письма со спамом или просто добавить на страницы всякого чёрного сеошного рожна. Как бы то ни было в случае заражения удалить и перезалить заново не только ядро, но и модули никогда лишним не будет. Ну и опять же, нечего думать, представляет угрозу лишний код или нет, тут правило может быть только одно: нашёл - удаляй. И никаких компромиссов.
это само собой
обычно в тему и встраивают код, потому как файлы ядра имеют привычку обновляться
Ядро да. Но если подкинуть левый файл в папку с любым контриб-модулем, то обновляй сколько угодно, а файл останется.