Cum să verificați dacă site-ul este hacked pe drupal și cum să-l remediați, drupal

4. Instalați Revizuirea de securitate:

drush en security_review -y

Puteți instala imediat totul.

drush dl drupalgeddon -y; dlsh dl site_audit --dev -y; drush dl hacked --dev -y; drush en hacked -y; drush en security_review -y

5. Noi conducem drupalgeddon în modul de verificare (audit) a site-ului.

Aceasta va lansa, de asemenea, toate modulele de mai sus și va crea un raport de raport 'report.html'. Vom deschide și vom vedea problemele noastre.
Ștergem toate fișierele, nodurile și modulele găsite de fișiere.
drush aa - html - bootstrap --detail - skip = insights>. / report.html
Găsiți toate fișierele și directoarele suspecte și le ștergeți. Consolidarea protecției sitului.

6. Rulați hacked în Drush.

Vizualizăm toate proiectele / modulele modificate:

drush hacked-list-projects - forța-reconstrui
După aceea, pentru fiecare proiect / modul modificat, de exemplu proiectul modificat, rulați:

drush-hacked-details modificatproiect
De asemenea, după aceea găsim toate fișierele / directoarele care nu sunt în proiect / modul:

proiectul modificat de tip drush-hacked-diff

7. Drupalgeddon

8. Eliminați utilizatorii

drush user-anulați numele de utilizator
drush ucan username

9. Resetați prima parolă utilizator / administrator

10. Modificarea parolelor de utilizator

drush utilizator-parola nume utilizator --password = "NEWPASS"
# sau
drush nume utilizator upwd --password = "NEWPASS"

Mergem la site-ul / admin / reports / security-review /, căutăm că am fost hackeri.

11. Găsiți și ștergeți fișierele hacked

găsi. -size 494c -name "* .php"
# Puteți, de asemenea:
găsi. - dimensiunea 494c - nume "* .php" xargs rm

12. Găsiți fișiere cu injecție PCT4B

grep-R1 PCT4BA6ODSE.
# și
grep-R1 q6ae4d5.

13. Găsiți diferite fișiere infectate

grep -R SOL_TCP.
grep -Rl SOCK_STREAM.
grep -Rl SOCK_DGRAM.
grep -R SOL_UDP.
grep -RL SO_REUSEADDR.
Grep -Rl SO_RCVTIMEO.
Grep -Rl SO_SNDTIMEO.

cd / var / log / httpd /
grep -iR 'SIGNED_FILE_NAME.php'.

Dacă găsiți un fișier infectat în modul, este mai bine să ștergeți întregul modul și să descărcați din nou cel curat.

14. Noi stabilim dreptul

cd / DRUPAL_DIR găsi. -type d -print0 | xargs - 0 chmod 755; găsi. - tip f -print0 | xargs - 0 chmod 644; chmod 777 site-uri / fișiere implicite / fișiere; găsi. / sites / default / fișiere - tip d -print0 | xargs - 0 chmod 777; găsi. / site-uri / default / fișiere -type f -print0 | xargs - 0 chmod 666;

Sau creați și executați un script.

Copiați codul de script într-un fișier și sunați-l, spuneți "fix-permissions.sh" și executați:

sudo bash fix-permissions.sh --drupal_path = calea ta / drupal / path --drupal_user = numele tău_utilizator
și anume cu datele noastre, este ca aceasta:

sudo bash fix-permissions.sh --drupal_path =. / directory _ din site-ul nostru _drupal_user = www-date

Rulați-l astfel:

/ usr / local / bin / fix-permissions.sh --path = / home / USER / public_html - utilizator = USER --group = GROUP

Rulați-l astfel:

/ Usr / local / bin / fix-permissions-strict.sh --drupal_path = / home / user / public_html --drupal_user = USER --httpd_group = GROUP

Acum, un alt modul pentru drush pare să atribuie corect permisiunile pentru fișiere: permisiuni de fișiere

15. Verificați fișierele jurnal

grep cwd / var / log / exim / mainlog | grep -v / var / spool | awk -F "cwd =" "" awk '' | | sortare | uniq -c | sort -n

/ var / log / httpd / error_log
/ var / log / httpd / acces_log
/ var / log / httpd / suexec_log
/ var / log / httpd / fpexec_log
/ var / log / httpd / domenii / domain.com.error. înregistra
/ var / log / httpd / domenii / domain.com. înregistra
/ var / log / mesaje # 40; erori generice # 41;

Există multe întrebări cu privire la semnificația diferitelor acțiuni și aplicabilitatea acestora într-un caz arbitrar:
„11. Găsiți și eliminați fișierele hacked
găsi. -size 494c -name "* .php" "
Și de ce ar fi spart fișierele de acest tip?

„13. Determinați locația diferitelor fișiere infectate »
Și ce puteți găsi în aceste cazuri în orice caz? Răspunsul este: cel mai probabil nimic.

„14. Noi stabilim drepturile corecte »
Nu există drepturi corecte. Există drepturi corecte pentru anumite setări ale mediului.

„15. Verificarea fișierelor de jurnal »
RHEL | CentOS nu este deloc, în consecință, calea va fi diferită.
Și cine pune DirectAdmin că el însuși este un Pinocchio ciudat, și probabilitatea că nu este rupt în acest caz, iar DA nu este foarte zero. =)
Busteni de mysql nu sunt acolo unde au fost puse de multi ani. Cel mai probabil, în distribuția dvs. sunt scrise în syslog,

„16. Ștergeți e-mailurile suspecte în Exim »
Ar trebui să explic că acest lucru nu ar trebui făcut în mod stupid. Și pentru a explica de ce și în ce cazuri va fi necesar să o faceți. De asemenea, postfixul este mai frecvent decât Exim, apropo.

De exemplu, timeout_frozen_after = 0 nu merită să faceți. Este necesar să înțelegeți ce este, dacă este înghețat foarte mult. Este posibil să nu fie spam, ci probleme cu mailerul tău.

În general, este mai bine să folosiți servicii externe pentru a lucra cu poștă electronică, dacă este posibil - acest lucru simplifică foarte mult întreținerea serverului și elimină o mulțime de cefalee inutile.

Prin curățarea fișierelor infectate - dacă întregul site este într-o gita, atunci
Git checkout. # rollback a schimbat fișierele
git clean -f # șterge toate fișierele netratate
poate salva tatăl democrației rusești. De fapt, EMNIP hacked și funcționează - trage codul modulului de la gita și îl compară cu acesta.

ZY Site-uri in Drupal personal am intrat de două ori: o dată drupageddon, al doilea - prin intermediul site-ului dzhumlovsky vechi, care a lucrat în cadrul aceluiași utilizator.

Cum să verificați dacă site-ul este hacked pe drupal și cum să-l remediați, drupal