0

我想告诉您有关对我的 Drupal 网站的恶意软件攻击。不仅是为了您的建议,还要为任何可能因同样问题而受苦的人创造一些有用的东西。出色地...

最初设定

  • Drupal 7.9
  • 激活模块:
    • 核心:块、上下文链接、数据库日志记录、字段、字段 SQL 存储、字段 UI、文件、过滤器、图像、列表、区域设置、菜单、节点、数字、选项、覆盖、路径、PHP 过滤器、RDF、系统、分类、文本、工具栏、用户
    • CCK:多选
    • 混沌工具套件:混沌工具
    • DATA/ORA:日历、日期、日期 API、日期弹出窗口、日期视图
    • 字段:电子邮件、字段权限、链接
    • 其他:Google Plus One +1、Pathauto、令牌、重量
    • 分享:分享这个,分享这个块
    • 分类菜单:分类菜单
    • 视图:视图、视图 PDF 显示、视图 PHP、视图 UI
    • 我删除的其他模块:CKEDITOR、VIEWS_SLIDESHOW、IMCE、DOMPDF、PRINT、WYSIWIG

我的设置错误

  • 为了满足客户,我修改了一些模块,但我从未更新它们(AUCH!)
  • 客户拥有登录数据,可能他的计算机不安全(嗯...)
  • 我没有网站的副本,因为我相信提供商每周备份(DOH!)

攻击外部症状

  • 主页的所有链接都重定向到恶意软件网站
  • 谷歌将网站列入黑名单
  • Google 网站管理员工具面板上的严重警报

FTP 症状

  • 许多“奇怪”的文件:mainma3.php(我在每个文件夹中都找到了这个!)、functoins.php、sum75.html、wlc.html、aol.zip、chas.zip、chasverification.zip、501830549263.php、wp -conf.php 和十几个 wtmXXXXn.php (dove X = numero) 在根文件夹中。所有这些文件都包含大量恶意函数(unescape、base64_decode、eval 等)
  • Install.php 被一长串恶意代码修改
  • 在每个 javascript 文件中都附加了这行代码: ;document.write('');
  • 每周备份也被感染
  • 在 Drupal 日志面板上发现了十几个重复的“奇怪”请求(我的域被字符串“-----”遮住了):
    • index.php?q=ckeditor/xss > 注意:未定义的偏移量: eval() 中的 5 (linea 29 di /web/htdocs/-----/home/modules/php/php.module(74) : eval( )'d 代码(1) : eval()'d 代码)。
    • -----/user?destination=node/add > shadowke 登录失败
    • 日历/周/2012-W19?year=2011&mini=2012-12 > 找不到页面
    • misc/]};P.optgroup=P.option;P.tbody=P.tfoot=P.colgroup=P.caption=P.thead;P.th=P.td;if(!c.support.htmlSerialize) P._default=[1, > 找不到页面
    • misc/)h.html(f?c( > 找不到页面
    • mail.htm > 找不到页面

恢复 [感谢这篇文章:http://25yearsofprogramming.com/blog/20070705.htm]

  1. 我已将网站置于维护模式(error503.php + .htaccess)。流量仅针对我的 IP 地址开放 [请参阅此有用指南:http://25yearsofprogramming.com/blog/20070704.htm]
  2. 我已经在本地下载了整个网站
  3. 我已经搜索并删除了奇怪的文件 > 我找到了 40 个
  4. 我搜索了这些世界的文件 [使用免费软件 AGENT RANSACK]:eval(base64_decode($ POST["php"])), eval(, eval (, base64 , document.write, iframe, unescape, var div_colors, var _0x, CoreLibrariesHandler, pingnow, serchbot, km0ae9gr6m, c3284d, upd.php, timthumb . > 我采取了以下方式之一:a) 我已将 eval 替换为 php_eval()(drupal 的 eval 安全版本) ; b) 我已经写下了可疑的模块;c)我已经将代码与新下载的模块进行了比较;d) 我已经删除了所有的恶意代码(参见上面提到的 javascript)
  5. 我在文件系统中搜索了 mohanges [使用免费软件 WINMERGE]
  6. 我发现了一些可疑的模块,感谢上面第 4 点写的列表,感谢对 Google 的一些研究(name_of_the_module 安全问题,name_of_the_module 被黑客入侵等...)和 Secunia [http://secunia.com /社区/咨询/搜索]
  7. 我已经扫描了我的计算机(Avast、Search&Destroy、Malwarebytes Antimalware)> 我没有发现任何病毒或间谍软件
  8. 我已更改所有登录名(ftp、cpanel、drupal 管理面板)
  9. 我已经重新加载了整个网站
  10. 我已经删除了所有可疑的模块:CKEDITOR、VIEWS_SLIDEWHOW、PRINT、DOMPDF、IMCE、CAPTCHA、WYSIWIG、WEBFORM。
  11. 我已经把整个故事告诉了提供者协助
  12. 我要求谷歌修改(他们在 12 小时内完成了)

立即登录

十几个这样的消息 - wtm4698n.php?showimg=1&cookies=1 > 找不到页面 - fhd42i3d.html > 找不到页面 - wp-conf.php?t2471n=1 > 找不到页面 - -----/user?destination =node/add > Elovogue 登录失败

得到教训

  • 切勿触摸模块,以便更新它们
  • 将所有登录信息保存在安全的计算机中/使用安全的计算机在 FTP 上工作
  • 在安装模块之前搜索任何安全问题
  • 在某处保留网站的干净副本

我的问题:

  • 我受到了什么样的攻击?
  • 我的安装中还有其他不确定的模块吗?
  • 我还能做什么?

感谢大家的耐心等待!

4

1 回答 1

1

如果您使用的是 m$ windows,我认为这是一个木马/病毒,它会窃取您的 ftp 密码并自动编辑文件。我知道很多这样的故事。

切换到WinSCP.net

于 2013-07-19T14:40:20.587 回答