Снова взломан сайт! upgraderservices.cf / drupal.js - откуда и как? Взлом drupal


Снова взломан сайт! upgraderservices.cf / drupal.js - откуда и как?

На этот раз снова взломали сайт, но уже другой =) Прям напасть какая-то. Пишу со смайлами, так как уже победил эту чуму.Значит в чем суть взлома - сайт начал редиректить на некую страницу - я даже не пытался на нее перейти. Просто антивирус стал ругаться и сыпать алертными окошками.

Значит страница с вирусом или еще с чем плохим: upgraderservices.cf / drupal.jsпогуглив, понял, что вирус как-то пролез на сайт через watchdog - вроде как на него ссылаются на иностранных сайтах.[РЕШЕНИЕ]Полез искать эту дрянь на FTP - как ни странно, только в одном файл он был обнаружен - прописался в конце файла явакодом, файл содержал в имени вроде bootstrap чтот-то там, точно не помню =)После удаления этого кода - ситуация не изменилась, сайт продолжал редиректить.

Пришлось прошерстить БД по ключевому слову: upgraderservices.cf и вот тут нашлось 25 совпадений.2 совпадения пришлись на таблицу block_custom - там вирус создал целых два блока.23 совпадения пришлись на таблицу watchdog

Решение было простое - зашел под админом на сайт в раздел блоки и нашел там 2 созданных блока с кодом вызывающем редирект. Удалил их прямо из админки - они пропали. Проверил по БД - из таблицы block_custom тоже исчезли (за одно проверяем таблицу block - там не должны остаться следы от удаленных ранее блоков, т.е. можно вообще руками почистить БД не заходя на сайт под админом).

Ну и удаляем записи из watchdog.

Пока все - антивирус перестал ругаться на сайт, все страницы открываются чистыми.

ЗЫ, за одно еще кэш скиньте, а то мало ли зараженные страницы будут висеть в кэше и выдаваться на запросы.

ВОПРОС - как заражение прошло на этот раз? т.е. вирус получил доступ к ФТП - прописавшись в одни из файлов сайта. И получил доступ к БД - создав два блока. Как уберечься от повторного нападения?

За последний месяц, это второй сайт лег от разных вирусов. Как-то совсем слабо. До этого года 2-3 без приключений было.

drupal.ru

Как взломать сайт на Drupal

Всем привет! Давно не писал в блог, но на то были причины. Теперь хочу возобновить постоянные публикация и новая запись будет про то, как осуществить взлом сайта, работающего на Друпале.

CMS Drupal по своей архитектуре очень защищенная система, исправления безопасности ядра и модулей выходят оперативно, и взломать ее через дыры не так просто. Не зря на форуме АНТИЧАТ тема с уязвимостями Друпала самая маленькая.

Но мы сегодня будет говорить об уязвимости другого рода, а именно о глупостях, недосмотрах и безалаберности человека (веб-разработчика), который включает для анонимов (!) доступ к формату ввода «PHP Code». А он позволяет выполнить любой php код, не имея доступа к админке сайта. Во всех инструкциях, советах по Друпалу пишут, что со встроенным модулем «PHP Code» надо быть осторожным, не предоставлять доступ к нему незнакомым людям, а тем более неавторизированным посетителям. Но, как мы увидим дальше, этим требованиям часто пренебрегают…

Для поиска уязвимых сайтов, работающих на Drupal, нам поможет всесильный Google. Его поисковые операторы позволяют находить сайты по многим, очень интересным параметрам. Мы будем искать открытые для индексации страницы редактирования (!) материалов, где одним (или единственным) фильтров ввода является «PHP code» (!!). Напомню, что страницы редактирования нод в друпале имеют вид вида site.com/node/id/edit, где id - это числовой идентификатор ноды.

Алгоритм поиска:

  1. Урл страницы должен содержать node и edit.
  2. На странице в тексте должна упоминаться фраза  «Вы можете размещать PHP-код» (для русского языка) или «You may post PHP code» (для английского языка).

Поможет нам в этот оператор «inurl», который позволяет находить сайты, содержащие в урле определенные слова, в нашем случае это «node» и «edit».

Поиск по этим критериям выполняет строка:

inurl:node inurl:edit "Вы можете размещать PHP-код"

На скриншоте выше показан пример с уязвимыми сайтами, работающими на Drupal с русским языком по-умолчанию. Как видно, многие из них уже использовались спамерами.

Следующая строка позволит найти уязвимые сайты, работающие на английской версии друпала:

inurl:node inurl:edit "You may post PHP code"

Тут выбор, конечно, побольше. По аналогии это можно сделать и для остальных 180 языков, на которых работает Drupal.

Что с этим делать?

Залить шел, проспамить сайт, просканировать сервер. А лучше написать администрации сайта о проблемах с безопастностью :)

Как от этого защититься?

Выключить модуль «PHP Code». Если это никак нельзя сделать, то ограничить права к нему минимальном количеству людей, желательно только главному администратору.

Не совершайте такие глупости, своевремнно обновляйте ядро и модули и ваш сайт будет в безопасности!

plazik.com

Взламывают сайт | Drupal

Здравствуйте, недавно появилась такая проблема.Кто-то ломает сайт на Drupal.Если подробнее то происходит это так(из того что удалось отследить).

1. Злоумышненник каким-то образом добавляет в ноду скрипт с php кодом, ставит формат ноды php, хотя это ролям делать запрещено.2. Потом как это обычно делается - вызывается эта нода, в неё c помощью POST отправляются данные с вредоносным кодом, который распаковывается через eval() в изначально залитом в ноду скрипте.Т.к. код находится на сайте - злоумышленник просто выполянет в залитом коде db_query() и делает все что ему вздумается.

Уже долго не могу понять как он это делает. Подскажите пожалуйста что можно с этим сделать.

Доступ к ?q=admin в .htaccess редиректит на fsb.ru.В файлах изменений нет, проверяю регулярно на всякий случай, с правами на файлы все ок, в этом уверен.Друпал 6.x последний, за время атак 1 раз обновил.От phpfilter отказаться не могу т.к. на нем сделан некоторый функционал. Увы... Это легко могло бы решить проблему, но нужен другой способ.Прокси с которых ходит злоумышленник попадают после атак в правила файервола.К cron.php попасть нельзя, редиректит на fsb.ruНапрямую постом не шлют код, только в зашифорованном виде для eval.При заливе первого скрипта, не обращаются к файлу index.php. (Логирую содержимое массивов GET и POST).

Вот это вижу в htaccess- 78.40.231.89 - - [05/Feb/2011:01:16:38 +0300] "POST /taxonomy/term/13372/?comment=238076 HTTP/1.0" 200 33768 "http://istranet.ru/taxonomy/term/13372/?comment=238076" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"- 78.40.231.89 - - [05/Feb/2011:01:17:45 +0300] "POST /taxonomy/term/13372/?comment=238076 HTTP/1.0" 200 33781 "http://istranet.ru/taxonomy/term/13372/?comment=238076" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"

Если нужна дополнительная информация, любую могу наковырять. Вплоть до кода первого скрипта который злоумышленник заливает на сайт в ноду.

drupal.ru

Безопасность Друпал. Как добиться надёжной работы сайта без взломов?

Работая на других CMS, написанных на Php, я имею большую апатию не только из-за неудобства админки, ограниченных функций, но ещё и потому что все мои сайты на WordPress взламывали. Поэтому когда клиенты обращаются с предложением доработать сайт или просто дизайн сайта на DLE, Joomla, Wordpress, я с большим сомнением отношусь к таким проектам и их будущему развитию.

Спасибо всем, кто ответил в вопросе: Как узнать через что был взломан сайт?

Вот некоторые доводы о безопасности сайтов, в частности для CMS Drupal. Статья написана на основе более подробного поста о безопасности: http://tlito.ru/node/97/

Что делать после взлома сайта?

Обычно взлом предполагает добавление вирусных файлов, и очень редко sql-инъекций.

Следующие сервисы помогают определить вирусы, найти php, js, shell инъекции:

https://www.virustotal.com/ru/ - онлайн сканер вирусов, можно закачать бекап сайта или указать url.http://revisium.com/ai/ - AI-Bolit - мощный сканер вирусов, работающий со всеми популярными CMS, написан на php.http://santivi.com/ - Санти - антивирус для сайтов, написанный на php, имеет версию Windows-приложение.https://github.com/novostrim/watcher4site - Watcher4site - поиск изменённых сайтов.https://github.com/emposha/PHP-Shell-Detector - Web Shell Detector - мощный поиск инъекций php/cgi(perl)/asp/aspx

Защита сайта на Drupal и поиск вирусов, уязвимостей

https://hackertarget.com/drupal-security-scan/ - онлайн сканер друпал на вирусыHacked! - модуль поиска изменённых файлов ядра и контрибных модулей, шаблоновSecurity Review - поиск уязвимостейSecure Code Review - анализ уязвимости кодаCoder - определяет соответствие кода сайта стандартам написания программ для Drupal

1. Чистка сайта от вирусов

  1. Проверить права на файлы и папки, обычно 755 для папок и 644 для файлов - заново установить для всех файлов и папок такие права (на некоторых хостингах может быть 600 для файлов и 700 для папок)
  2. Проверить файл index.php в корне сайта - обычно там добавляется shell-программа - сравнить index-ный файл с прежними версиями
  3. Проверить .htaccess в корне сайта - там могут добавляться правила переадресации, например для мобильных или для всех пользователей
  4. Проверить наличие новых папок в корне и в подпапках
  5. Проверить папку временных файлов и папку, в которую разрешена запись
  6. Проверить наличие новых файлов с странными названиями (иногда обычными названиями): обычно с расширением php, иногда и неисполняемые файлы могут содержать вирусы: картинки, текстовые файлы, js,
  7. Проверить наличие новых файлов .sh - это файлы, которые могут содержать bash-коды и shell-вирусы,
  8. Проверить старые php-файлы на вирусные вставки.

После обнаружения вирусов - удалить вирусные файлы, заменить заражённые файлы на чистые из бекапа.

2. После чистки сменить пароли

Пароли учётной записи администратора, редакторов, других пользователей, возможно, обновить пароли всех простых пользователей или ограничить их права.Сменить ftp-пароли, почистить компьютер от вирусов, сменить ОС.

Если вирусы появляются снова, попробуйте перенести сайт на другой хостинг на время. Если ситуация повторится - ищите уязвимости.

3. После смены паролей - обновить систему

Если сайт на популярной CMS - обновить ядро и все модули.

Отключить неиспользуемые модули.

Проверить код самописных модулей.

4. После обновления читать логи, искать уязвимые места

Эта работа самая сложная. Но если не залатать дыры безопасности, развитие проекта будет невозможным - вирусы будут съедать вашу работу с сайтом, заставляя производить чистку, смену паролей и прочие не целевые действия.

Изучить следующие логи:

доступ по ftpphp-логиmysql-логиapache-логиbash-логилоги авторизации на сайтеЧто конкретно там нужно смотреть: чужие ip, с которых производился доступ, работа bash-скриптов, php-скриптов.

Если не обнаружена активность хакера, при невозможности чтения логов:

Отключить небезопасные модули.Отключить регистрацию.Ограничить функции сайта.Ожидать появление вируса снова и находить уязвимые места в сайте с ограниченными функциями.

Обратитесь к тех. поддержке хостинга за бесплатным поиском вирусов или уязвимости или предложите оплату за обеспечение безопасности.

Если никакие действия не помогают найти уязвимое место, в том числе, не помогает смена хостинга, придётся перенести сайт на другую CMS: более надёжную или самописную.

Что поможет сделать сайт наиболее надёжным?

Для очень дорогих проектов и профессионалов в области разработки о безопасности сайта следует отметить, лучшую защищённость сайт будет иметь благодаря:

  1. Собственный сервер VDS или хотя бы VPS - вместо шаред-хостинга
  2. Использование самописной CMS от надёжного разработчика
  3. Правила кодирования: для Drupal - кодирование Drupal-way и проверка кода модулями Secure code review, Coder.

Где узнать о безопасности и защите сайтов

https://help.yandex.ru/webmaster/protecting-sites/basics.xml - основы безопасности от Яндексhttp://tlito.ru/node/58 - безопасность Drupalhttp://habrahabr.ru/post/12067/ - основы безопасности PHP

Почему Друпал - безопасная CMS?

Друпал надёжен сам по себе. Только использование непроверенных модулей, ошибок программиста, создающего свои модули для сайта, также ошибки настройки сервера или несоблюдение основ безопасности Друпал могут быть причиной взлома. Также не рекомендуется ставить Друпал из коробки, в том числе Kickstarter и прочие готовые решения на Друпал.

Не держите на сайте информацию, доступ к которой хакера принесёт ущерб вам или пользователям, потому что за вред, причинённый хакером пользователям ресурса, ответственность несёт Администрация ресурса.

Кстати, очень часто группа Drupal Security выдаёт новости безопасности с критическим уровнем уязвимости. Поэтому Друпал безопасен до поры до времени, пока не выйдет новая версия, в которой будет раскрыта для всех хакеров устранённая уязвимость. Часто сайты на Друпал, не обновлённые сразу после выхода обновления безопасности оказываются под ударом хакеров.

Что если для старых неиспользуемых сайтов просто сделать версию без CMS - обычным html - пусть с кодами adsense или диркет, но без баз данных и php ?

dru.io


Prostoy-Site | Все права защищены © 2018 | Карта сайта