我想告诉你关于我的Drupal网站的恶意软件攻击。不仅仅是为了你的建议,而且还创造了一些有助于任何人可能遭遇同样问题的东西。嗯......
INITIAL SETUP
- Drupal 7.9
- 已激活的模块:
- 核心:块,上下文链接,数据库日志记录,字段,字段SQL存储,字段UI,文件,过滤器,图像,列表,区域设置,菜单,节点,数量,选项,叠加,路径,PHP过滤器,RDF,系统,分类,文本,工具栏,用户
- CCK:Multiselectd
- CHAOS TOOL SUITE:混沌工具
- DATA / ORA:日历,日期,日期API,日期弹出窗口,日期视图
- FIELDS:电子邮件,字段权限,链接
- OTHER:Google Plus One +1,Pathauto,Token,Weight
- 分享:分享此内容,分享此块
- 分类菜单:分类菜单
- 视图:视图,视图PDF显示,视图PHP,视图UI
- 我删除的其他模块:CKEDITOR,VIEWS_SLIDESHOW,IMCE,DOMPDF,PRINT,WYSIWIG
我的设置错误
- 为了满足客户需求,我修改了一些模块,我从未更新过它们(AUCH!)
- 客户掌握了登录数据,也许他的电脑不安全(MMM ......)
- 我没有网站的副本,因为我信任提供商每周备份(DOH!)
ATTACK EXTERNAL SYMPTOMS
- 主页的所有链接都重定向到恶意软件网站
- Google将网站列入黑名单
- Google网站站长工具面板上的重要提醒
FTP症状
- 很多"奇怪"文件:mainma3.php(我在每个文件夹中找到了这个!),functoins.php,sum75.html,wlc.html,aol.zip,chase.zip,chaseverification.zip,501830549263.php,wp-conf.php和根文件夹中有十几个wtmXXXXn.php(dove X = numero)。所有这些文件都是大量的恶意函数(unescape,base64_decode,eval等)
- 使用大量恶意代码修改了Install.php
- 每行javascript文件都附加了这行代码:
;文件撰写('&#39);
- 每周备份也被感染
- 十几个重复的"奇怪的"请求,在Drupal日志面板上找到(我的域名被字符串&#34遮住了; -----"):
- index.php?q = ckeditor / xss>注意:未定义的偏移量:eval()中的5(linea 29 di /web/htdocs/-----/home/modules/php/php.module(74):eval()' d code(1) :eval()' d code)。
- ----- / user?destination = node / add> shadowke
登录失败
- calendar / week / 2012-W19?year = 2011& mini = 2012-12>页面未找到
- 杂项/]}; P.optgroup = P.option; P.tbody = P.tfoot = P.colgroup = P.caption = P.thead; P.th = P.td;!如果(c.support .htmlSerialize)P._default = [1,>页面未找到
- misc /)h.html(f?c(>未找到页面)
- mail.htm>页面未找到
RECOVER [感谢这篇文章:http://25yearsofprogramming.com/blog/20070705.htm]
- 我已将网站置于Maintanance模式(error503.php + .htaccess)。仅为我的IP地址打开流量
[见本指南:http://25yearsofprogramming.com/blog/20070704.htm]
- 我已经在本地下载了整个网站
- 我搜索并删除了奇怪的文件>我找到了四十个
- 我已经使用免费软件AGENT RANSACK搜索了这些世界的文件:eval(base64_decode($ POST [" php"])),eval(,eval(, base64 ,document.write,iframe,unescape,var div_colors,var _0x,CoreLibrariesHandler,pingnow,serchbot,km0ae9gr6m,c3284d,upd.php, timthumb 。> ve采取以下一种方式:a)我用php_eval()(drupal的eval安全版)替换了eval; b)我写下了可疑模块; c)我将代码与新下载的模块进行了比较; d)我已删除所有恶意代码(请参阅上面提到的javascript)
- 我在文件系统中搜索了mohanges [使用免费软件WINMERGE]
- 我已经确定了一些疑似模块,感谢上面第4点写的清单,并感谢一些关于Google的研究(name_of_the_module安全问题,name_of_the_module被黑客攻击等等)和Secunia [http: //secunia.com/community/advisories/search]
- 我扫描了我的电脑(Avast,Search& Destroy,Malwarebytes Antimalware)>我没有发现任何病毒或间谍软件
- 我已经更改了所有登录信息(ftp,cpanel,drupal管理面板)
- 我已重新加载整个网站
- 我已删除所有可疑模块:CKEDITOR,VIEWS_SLIDEWHOW,PRINT,DOMPDF,IMCE,CAPTCHA,WYSIWIG,WEBFORM。
- 我已将整个故事告诉提供商协助
- 我要求Google进行修改(他们在12小时内完成了修订)
DRUPAL LOG NOW
这些消息中的十几个
- wtm4698n.php?showimg = 1& cookies = 1>网页未找到
- fhd42i3d.html>网页未找到
- wp-conf.php?t2471n = 1>网页未找到
- ----- / user?destination = node / add> Elovogue登录失败
经验教训
- 切勿触摸模块,以便更新它们
- 将所有登录信息保存在安全的计算机中/使用安全的计算机处理FTP
- 在安装模块之前搜索任何安全问题
- 在某处保留一份干净的网站副本
我的问题:
- 我收到了什么样的攻击?
- 我的安装中还有其他不确定的模块吗?
- 我还能做些什么?
感谢大家耐心等待!