Помощь Drupal 7 и вредоносные index.php

Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .
 
Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .
После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.
 

Вложения

  • decode_2m15t4gun.php.zip
    1,3 KB · Просмотры: 4
После обновы и удаления этого файла плодиться php'шники не перестали?
Множество причин, в том числе и от соседей могут приходить, если на другом хостинге нормально.
Нужно проверить логи, смотреть только на обращения вне витрины и пост запросы данных, возможно где-то закладка сделана.
 
После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.
После удаления найденного файла, проблема пропала. Больше index.php не появлялся.
Хостинг у меня другой. (rustelecom)
Проблема возникла первый раз, другие сайты не затронула. Видимо из за дырки в самом Дрюпале.
 
Добрый день. Столкнулся с подобной проблемой. В логах cron (обнаружил, что cron не стартует и полез в логи), drupal сам написал на что нужно ссылаться, удалял файлы .b178948a.ico и десятки их вариаций с удалением строки в index.php, но через пару дней в index.php снова создается обращение к этому файлу (файл под другим названием и в другой директории может находиться), кто-нибудь нашел сам исходный файл?

В общем, кому нужно, то мне помог Для просмотра ссылки Войди или Зарегистрируйся онлайн сервис по выдворению зловреда со страниц сайта. Сервис платный, но по заверению администрации ресурса, у пользователя есть 7 дней для demo пользования, не обманули, сервис работает в полном режиме все 7 дней. Схема простая: подключаешь сайт, я это делал с помощью php страницы от virusdie.com (можно по ftp), проверяешь его, антивирь показывает все пути к зараженным файлам, нажимаешь на файл, выделяется зловредный код, удаляешь его через ftp или панели хостинга и так пока не удалишь полностью все куски вредителя.
 
Последнее редактирование модератором:
дырки были в модулях друпала, где использовалась заливка на сайт файлов, типа аватарок или других изображений

помогает обновление ядра и модулей до самых свежих + полное удаление неиспользуемых на сайте модулей
 
Не всегда это связано с дырами в Друпале. Часто на Шаред хостингах такое проявляется. Помогает замена хостера. Я сменил хостера, но у старого хостера еще был проплаченный период. Я все удалил, оставил просто пустые файлы php. Через два месяца в каталоге появились:
- файлы размером около 158к bootstrat.php defines.php и похожих названий;
- файлы размером около 2,58к response93.php article38.php css25.php заполонили все;
- в рабочие файлы php (в моем случае в пустые файлы php) записывается код закодированный eval.

Хостер не признал проблему даже после того, как я предоставил содержимое каталога (до этого пустого), хостер пытался свалить все на протокол FTP (но я им никогда не пользовался) и много всяких детских отмазок.
VirusActive1.PNG

Предложили перейти на новый тариф (я думаю они поэтому ничего и не пытались решить, им это просто невыгодно). Замена хостера решила все проблемы.

При переезде на новый хостинг при сохранении файлов сделайте в антивирусе исключение для каталога в который сохраняете содержимое с вирусами. Иначе все уйдет в карантин. После удаление всех ненужных включений пробегитесь Айболитом (уже на новом хостинге). И забудете проблему.
 
Последнее редактирование:
Проще заново собрать файловую часть, тем же DRUSH через комманду DL и название требуемых модулей, потом накатить сверху изменения если вносились вручную и уже потом базу заливать.
 
Назад
Сверху