Drupal 7 и вредоносные index.php

yarosof

Создатель
Регистрация
26 Мар 2014
Сообщения
12
Реакции
0
Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .
 

DarthOlolo

Создатель
Регистрация
25 Авг 2017
Сообщения
41
Реакции
3
Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .
После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.
 

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154

Вложения

  • decode_2m15t4gun.php.zip
    1,3 KB · Просмотры: 3

RORC

Постоялец
Команда форума
Модератор
Регистрация
14 Июн 2013
Сообщения
380
Реакции
154
После обновы и удаления этого файла плодиться php'шники не перестали?
Множество причин, в том числе и от соседей могут приходить, если на другом хостинге нормально.
Нужно проверить логи, смотреть только на обращения вне витрины и пост запросы данных, возможно где-то закладка сделана.
 

yarosof

Создатель
Регистрация
26 Мар 2014
Сообщения
12
Реакции
0
После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.
После удаления найденного файла, проблема пропала. Больше index.php не появлялся.
Хостинг у меня другой. (rustelecom)
Проблема возникла первый раз, другие сайты не затронула. Видимо из за дырки в самом Дрюпале.
 

gluk_2005

Создатель
Регистрация
10 Ноя 2016
Сообщения
33
Реакции
4
Добрый день. Столкнулся с подобной проблемой. В логах cron (обнаружил, что cron не стартует и полез в логи), drupal сам написал на что нужно ссылаться, удалял файлы .b178948a.ico и десятки их вариаций с удалением строки в index.php, но через пару дней в index.php снова создается обращение к этому файлу (файл под другим названием и в другой директории может находиться), кто-нибудь нашел сам исходный файл?

В общем, кому нужно, то мне помог Для просмотра ссылки Войди или Зарегистрируйся онлайн сервис по выдворению зловреда со страниц сайта. Сервис платный, но по заверению администрации ресурса, у пользователя есть 7 дней для demo пользования, не обманули, сервис работает в полном режиме все 7 дней. Схема простая: подключаешь сайт, я это делал с помощью php страницы от virusdie.com (можно по ftp), проверяешь его, антивирь показывает все пути к зараженным файлам, нажимаешь на файл, выделяется зловредный код, удаляешь его через ftp или панели хостинга и так пока не удалишь полностью все куски вредителя.
 
Последнее редактирование модератором:

_sashok

PrestaShop Expert
Регистрация
15 Июл 2011
Сообщения
2.317
Реакции
4.114
дырки были в модулях друпала, где использовалась заливка на сайт файлов, типа аватарок или других изображений

помогает обновление ядра и модулей до самых свежих + полное удаление неиспользуемых на сайте модулей
 

artkvadrart

Постоялец
Регистрация
3 Фев 2020
Сообщения
52
Реакции
12
Не всегда это связано с дырами в Друпале. Часто на Шаред хостингах такое проявляется. Помогает замена хостера. Я сменил хостера, но у старого хостера еще был проплаченный период. Я все удалил, оставил просто пустые файлы php. Через два месяца в каталоге появились:
- файлы размером около 158к bootstrat.php defines.php и похожих названий;
- файлы размером около 2,58к response93.php article38.php css25.php заполонили все;
- в рабочие файлы php (в моем случае в пустые файлы php) записывается код закодированный eval.

Хостер не признал проблему даже после того, как я предоставил содержимое каталога (до этого пустого), хостер пытался свалить все на протокол FTP (но я им никогда не пользовался) и много всяких детских отмазок.
VirusActive1.PNG

Предложили перейти на новый тариф (я думаю они поэтому ничего и не пытались решить, им это просто невыгодно). Замена хостера решила все проблемы.

При переезде на новый хостинг при сохранении файлов сделайте в антивирусе исключение для каталога в который сохраняете содержимое с вирусами. Иначе все уйдет в карантин. После удаление всех ненужных включений пробегитесь Айболитом (уже на новом хостинге). И забудете проблему.
 
Последнее редактирование:

TheSol

Писатель
Регистрация
2 Май 2017
Сообщения
1
Реакции
0
Проще заново собрать файловую часть, тем же DRUSH через комманду DL и название требуемых модулей, потом накатить сверху изменения если вносились вручную и уже потом базу заливать.
 
Сверху