я обнаружил успешную попытку взлома, когда кому-то удалось каким-то образом изменить файл в моей установке drupal и ввести код javascript
файл, который был взломан, был: jquery-1.9.1.min.js, который является общим файлом библиотеки javascript, который я загружал ранее (чистый, без кода взлома)
Я почистил файл сейчас, но хочу знать, как этот человек попал в него?
а также еще одна очень странная вещь, дата последнего изменения файла была неизменной с годами, хотя код был добавлен в файл недавно, может ли кто-нибудь взломать сайт, а затем изменить дату последнего изменения, чтобы замести следы?
Мой вопрос простыми словами: где мне начать искать подсказки, чтобы найти дыру в безопасности?
Лучше всего предположить, что это будет уязвимая версия Drupal или уязвимый плагин / собственный код.
Если это ваш собственный сервер, отключите его от сети, чтобы предотвратить дальнейшее повреждение.
Если это не ваш собственный сервер, а виртуальный хостинг, проблема может быть ограничена вашей собственной учетной записью, а может и не быть. Свяжитесь с поставщиком услуг, чтобы подтвердить их, чтобы проверить, не является ли это более серьезной проблемой.
Проверьте свои журналы на предмет аномалий. Это может помочь ограничить проблему определенным плагином / страницей.
После размещения восстановленного и обновленного сайта в сети регулярно проверяйте, не появляется ли файл снова.
В метке времени файла не требуется указывать время, когда он был записан на этот сервер. В зависимости от того, как файл был загружен, он мог сохранить исходную метку времени, которая могла быть изменена вручную перед загрузкой, чтобы затруднить поиск среди всех файлов.