Как взломали мой сайт на Друпале

Настораживает другое - как, черт возьми, им это удалось???
Security announcement пополняется постоянно.
Хостеры как всегда "белые" и "пушистые".
Но пароли длинные помогут количество неизвестных в задаче уменьшить.

Супорт, вероятно, прав. Не такие они и разные, эти "форматы представления данных".
В веб панель заходишь через браузер? (Кстати, какой?) Пароль - в менеджере паролей? Или ручками каждый раз вводишь? Если последнее, тогда вирус действительно врядли. Если же первое, то прочее - дело техники. Троянов чай не дураки пишут.

Кстати, самое интересное, а данные по модификации файла, с какого ip и т.д. у хостера запрашивал? Традиционно, пароль доступа в веб-панель управления сайтом совпадает с прочими сервисами, в том числе ftp. ftp - отсутствует в принципе или просто не юзается, типа?

Стенаний по поводу взлома сайтов много (сам через это проходил), но убедительно доказать, что это уязвимость скрипта так никому доказать и не удалось.

Уже было. Это не друпал взломали, а сервер 99%.

Да, было такое на valuehost пару лет назад - через FTP.

сейчас заметил, что мой сайт тоже пытались похакать (а мож и поимели...)
они переименовали .htaccess в _
друпал 4.7.2 с патчими безопасности до 4.7.4
сейчас ищу сообщения об уязвимостях на друпал орг
никто не в курсе, в последнее время ничего серьезного в нем не находили?

> друпал 4.7.2 с патчими безопасности до 4.7.4
> сейчас ищу сообщения об уязвимостях на друпал орг
> никто не в курсе, в последнее время ничего серьезного в нем не находили?
Находили. :) На дворе уж 4.7.7.

А вообще-то, читайте http://drupal.org/security, можно подписаться на рассылку о безопасности.

Может автору убрать из заголовка слово Drupal? Он тут как раз не при чем ...

конечно друпал не при чем и провайдер не при чем, а если вы в виндовсе вводите какой-то пароль - то рано или поздно по нему что-то да взломают.

>>конечно друпал не при чем и провайдер не при чем, а если вы в виндовсе вводите какой-то пароль - то рано или поздно по нему что-то да взломают.
10 лет без вирусов, при том что антивирус устанавливаю только перед перестановкой системы, проверяюсь на всякий случай.
что я делаю неправильно?

можно тупой вопрос?
как использовать команду patch?

patch -p4

"patch -p4

patch -p4 </put/do/patcha/sa-2007-001-4.7.4.patch 


сори за флуд, пока догодался до отключения тегов(

вот так:man patchесли и это сложно - идем сюда: http://www.freebsd.org/cgi/man.cgi

хватит издеваться, я читал( только он что-то спрашивает, какой файл патчить....

еще на ДО подробно расписано Applying patches

просто команду эту надо вызывать находясь в директории что патчим, я так понимаю

у меня точно так же было, но друпал тут точно не причем, накануне украли пароли от ФТП и заменили все файлы index.
элементарно восстановила из дистрибутива и все ок.

Народ, если б хакнули Друпал - тут бы стоял вой вселенский да скрежет зубовный.

А что именно хакнули не суть важно. Но не Друпал, они б одинм сайтом не ограничились.

99% Drupal не причём. На сайте могла быть любая другая CMS, результат был бы таким же. Вот правда хорошо, что Drupal не добавляет закрывающий ?> для php, а в роботе ломавшем сайт такая ситуация не была предусмотрена :)

У меня на сервере юзеры тоже время от времени рапортуют о таких взломах - js-скрипты дописанные в конец индексных файлов. Роботы тупо выбирают index.* и пишут туда свой код. За последний год было три таких жалобы. Причем скрипты сайтов у всех разные: в двух случаях самописные, в одном случае вообще статический html. Имхо типичная кража ftp-паролей. Я собираюсь защитить сайты таким образом: корень ftp на хостинге выдавать в директорию юзера, а перенос залитых файлов в wwwroot делать отдельно, через вызов юзером скрипта в броузере (типа в контрольной панели хостинга). Тогда робот зашедший на ftp с большой вероятностью вообще не найдёт чего ему ломать (если только не зайдёт в тот момент, когда юзер залил новые файлы и не сказал ещё отправить их на сайт). Файлы залитые на ftp через время (напримре несколько часов) переносятся в отдельную архивную директорию, вернуть их на ftp можно только опять же через вебскрипт.

FTP-пароли передаются в незашифрованном виде по сети, выделить протокол ftp из общего потока сетевых данных - не является сложной задачей. Пароль может быть перехвачен снифером, живущим где-нибудь в вашей локальной сети (например вирус может быть не у вас, а на компе соседа, чей комп висит на том же хабе). Поэтому защита собственного компьютера не всегда может быть эффективной. Use ssh и авторизацию по запароленным ключам, don't use ftp.

а все-таки интересно - зачем в друпале не добавлен закрывающий тег?
насчет пользования ftp - то в крусадере например можно использовать не ftp а sftp - все тоже самое, только обмен пойдет через sshd по протоколу ssh.

блин, а я добавляю всегда закрывающий тег, ибо не по правилам.... теперь можно и одуматься.... :)

Как могут взломать сайт?

1) троян ворует пароль и самостоятельно по FTP меняет файл index.(..) в корневой папке. Про это есть много тем на forum.searchengines.ru

2) у меня еще была ситуация, когда на одном сайте (не Drupal) я случайно заметил новый файл index.html с текстом "hacked by ..." . Случайно, потому что по умолчанию у меня там index.php. Хостер ответил, что поломали другой сайт на виртуальном хостинге, а у меня были неправильные права на корневую папку (на Линуксе было 0777, а надо 0710), поэтому и меня ломанули.

Как защититься от вирусов - у меня Касперский в фоновом режиме с обновляемыми базами, браузер Опера, еще к паролю на FTP добавляю 1-2 лишних символа на всякий случай, которые при подключении вручную удаляю. Так надежнее.

>> Как защититься от вирусов
у меня ни 1-го антивируса (ставлю и проверяюсь для профилактики перед сносом системы), Kerio Winroute Firewall на 2 компа с женой, в ИЕ открываю только знакомые сайты, которые не пашут нигде, кроме него, использую FF2, никогда не скачиваю того, в чем не разбираюсь
результат - 10 лет без единого вируса

"в ИЕ открываю только знакомые сайты"

Когда хоть один из этих сайтов ломанут будет полярная лиса. :)

ну за 10 лет, сломав несколько сайтов, не смогли сломать меня
что я делаю не так?

> что я делаю не так?
а вы попробуйте под виндовсом посидеть денек другой )

Уже лет 15 под ней (диск с беттой 95до сих пор на полке). Проблем особых не было... :)

Вот именно - файрвол должен быть прежде всего в голове

По поводу "что я делаю не так".

Проблем с вирусами у меня небыло с 89-го года (18 лет). Это не помешало в мае поиметь проблему со взломом сайтов. А за неделю до этого не заметить влом трояна (при том, что работал актуальный нод32 и Аутпост файрвол). Дык что к "открываем только знакомые сайты" можно добавить "вообще в сеть не выходим" :)

То, что на компе были трояны, вообще говоря, ни о чем не говорит. Может они, а может просто кто-то снифернул пароль по сети и руками вбил код. Либо знал куда, либо просто методом тыка. Если сеть по локалке, то крысу почти наверняка там надо искать. Ставится снифер, которых в сети до Ж, и вот все пароли как на ладони.

я имел в виду, что простым серфингом через ИЕ заниматься опасно, если и открывать сайты в нем, то только те, которые невозможно корректно отобразить в другом браузере, и которые Вам реально необходимы
хотя таких сайтов с каждым днем все меньше, даже msdn давно нормально отображается в FireFox

У меня 4.7.2, патчами безопасности обновил до 4.7.4
а дальше патчи с ошибками ставятся... как думаете, мож обновить тупо до 5.1? ))))
без проблем обновляется, кстати, пробовал кто-небудь?

Настораживает другое - как, черт возьми, им это удалось???

Очень просто -- "они" узнали пароль на ФТП.
--------------------
Щаз эта зараза по многим сайтам ходит.
Imho, cовершенно автоматически.
Алгоритм примерно такой:
1. Некто подхватывает троян.
2. Троян отсылает пароли с этого компа к ICQ, thebat, outlook, FTP (cuteftp, far…), webmoney и т.п. на определенный адрес.
3. «Там» стоит робот, который принимает пароль к ФТП и автоматически сканирует директории на ФТП-сайте и добавляет определенные строки (эти вот document.write ( unescape ( «%3Cscript)…
в файлы, где встречается, например, < / html>
4. Эти сайты начинают распространять данный троян (или то, что скажет хозяин этого ботнета)
5. На сайт заходит новый пользователь -- см. пункт 1.

Ещё в июне непосредственно столкнулся с таким. Было там вот что.
Загрузчик:
Trojan-Downloader.Win32.Small.epe
И два хвоста:
Backdoor.Win32.Agent.alm
Trojan-PSW.Win32.LdPinch.bex

Резюм такой — удаляйте троян у того, кто имеет пароль на ФТП. И меняйте пароли.
--------------------

Попробуйте обновлять ie регулярно, и можно будет серфить где угодно.

На прошлой неделе чистил сайт: Joomla + phpBB2.
Вычистил - буквально через час-два опять начинают появляться.
Закончилось все тогда, когда был изменен пароль доступа по ftp.

просто никогда не надо набирать свои пароли в какой-бы то ни было виндовс - в виндовс наверняка стоят кейлоггеры которые все что набираете - отсылают спамерам.

«Если не сохранять пароль в браузере, то его не украдут» - это миф.
Кейлоггеры читают пароли не хуже любого трояна и так-же отправляют их куда надо.

Вот, полюбуйтесь:
http://drupal.by/ (ссылка наверное будет актуальна еще сегодня)