Почему сайты на Друпал заражаются?
1. Несвоевременные обновления.
2. Не правильные настройки (как минимум следует следовать тому что говорит сам друпал в отчёте о состоянии)
3. Использованы костыли. Например свёрстаны темы, в темы "инклудами" вставлены формы обратной связи или прочие интерактивные скрипты без должной защиты.
4. Уведены пароли из Тотал Командера (рекомендуем FAR)
Почему следует лечить вирус?
• Это как зомби-апокалипсис. Сначала один сайт, потом другой ,потом все.
• Из-за вирусов ваши сайты понижаются в поисковой выдаче.
• Некоторые ваши посетители не смогут открыть Ваш сайт, так как их антивирус его просто заблокирует.
• Вы можете потерять конфиденциальные данные.
• Сайты с вирусами запрещают к подаче в контекстную рекламу - вы потеряете клиентов. Более того, поисковые системы могут исключить ваш сайт из индексации основываясь на факте заражённости вашего сайта.
Как быстро найти вирус/его последствия и вылечить самостоятельно на Drupal от BlackSeo
0. Ниже будет пример о том, как лечить ваши сайты находясь на сайте «Доброхост».
1. Зайдите в командную строку по ssh
2. Попросите Отличный шаред Хостинг для Друпал
или своего хостинг-провайдера. если не установлен, установить drush (программа для Drupal, которая позволит делать обновления из консоли). Проверить установлен ли у вас drush можно так: drush -version находясь в командой строке по ssh.
3. Уберите сайт на обслуживание средствами Drupal.
4. Не торопитесь сразу делать обновления. Попытайтесь сначала убрать максимальнос следы вирусов. для этого используйте в консоли подключившись по ssh команду find
5. Зайдите в своей папку domains с помощью команды cd
cd domains/ваш сайт
ваш сайт на Доброхосте находится в папке www
поэтому вы можее смело написать команду
find www -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r | less
с помощью клавиши стрелок вверх/вниз вы сможете прокручивать результат команды findтаким образом, в самом верху вы увидите последние изменённые файлы -крайне вероятно что именно там вы найдете беду. Самое распространение что сейчас можно встретить в Drupal (особенно шестой версии) это вот такой Эксплойт - https://www.drupal.org/node/2327135 который делает много всяких пакостей. В основном это творение хитрым способом продвигает свои проекты. Встраивая в ваш сайт «свой сайт».
Внимание! Перед тем как взяться за команду rm -rf (рекурсивное удаление) проверьте нет ли симлинков. Часто этот вирус содержит симлинк, который по ФТП не удалится, а если вы запустите рекурсивное удаление - можете потерять все свои сайты так как правило симлинк содержит в себе ссылку на корень всех ваших сайтов.
Почередно выполните следующие команды
find ~/. -path \*/sym/\* -print - если первая команда находит, выполняем дальше
find ~/. -path \*/sym/root\* -print
find ~/. -path \*/sym/root\* -print -exec rm {} \;
find ~/. -path \*/sym/\* -print
сам процесс удаления
find ~/. -path \*/sym/.htaccess\* -print -delete
find ~/. -path \*/sym -print -delete
Следующие шаги. Для Drupal 6 ! - вам просто необходимо
1. Скачать новый друпал, и заменить .htaccsess - в корне на свежий
2. Создать новый .htccacsee согласно инструкции https://www.drupal.org/SA-CORE-2013-003 и поместиьт его в корень files, temp (или какие у вас указаны файловые директории) - это позволит вирусы распространяться помедленне
3. Зайти в ваш settings.php если речь идет о указанном вирусе с большой вероятностью, у вас там сидит зверье в начале или конце файла вот такого формата
4. include('/пусть до сайта/modules/book/part1_book-rtl.css'); - или подобное удалите эту строчку
После этого, вам необходимо зайти на свой сайт зараженный браузером (если ваш антивирус это позволит) и найти какой код встроен в ваш сайт посмотрев «Исходный код» в нашем случае чатсо это было нечто подобное (но варианты разные)
<script type="text/javascript">
document.write('<' + 'di' + 'v sty' + 'le="position: absolute; l' + 'eft: -1901px; t' + 'op' + ': -2803px;">');
</script>
<a href="сайт/index.html">справочник домашних телефонов н новгорода</a>
<a href="сайт/sites/Magnitogorsk/index.html">телефонная база сумы</a>
много другого мусора
Что бы быстрее найти, предлагаем использовать grep вот команда, которую следует выполнить находясь в корне вашего сайта
grep -rl "телефонная" * - эта команда найдет все файлы где есть «телефонная».
Скорее всего это будут все темы вашего сайта. Аккуратно заходите в них удобным редактором и удаляте лишний кусок, которого там быть не должно.
После этого нужно найти файлы: css.php, img.php, js.php
- скорее всего это зло. Смело удаляйте
find domains/ -name 'css.php' - пример поиска этих файлов - найдет все css.php
так же нужно найти папку, в которую записаны «города и прочие справочники» так как каждый раз они разные, ищите по дате и удаляйте лишнее.
Послпе этого, найдите парсер SimplePie -
grep -rl "SimplePie" *
И так же удалите все что нашли. Как правило это так же вирус. Внимание! Удалять нужно не файлы где содержится этот кусок, а только тело вируса. Как правило оно начинается
//Create a new SimplePieCache object^M
…
и заканчивается
echo $prewue."_bad".$t."_bad".$t."_error_hash".$postwue;^M
}^M
другая часть вирусов прячется под видом Акисмета
grep -rl "Plugin Name: Akismet" *
искореняйте зло.
После этого, если ваш Друпал работает с правами 444 - измениите всем settings.php права на 444 или минимально возможные.
Находясь в корне сайта это можно сделать одной командой
find domains/ -name 'settings.php' | xargs chmod 0444
Завершение
Теперь смело обновляйте Drupal до последних версий. Сделать это в консоли очень просто, зайдите в папук sites/all вашего сайта
там пишите
drush pm-update - обновить Друпал
drushh cc all - обновить кеш Друпал
drush core-cron - дернуть cron drupal
после этого
Смените все пароли (на сайт, на хостинг, на ssh, на фтп, на доступ администратора к Drupal)
Вопросы
Вы можете воспользоваться моими услугами по вылечиванию Друпал-сайтов от вирусов. Напишите на rburnis@gmail.com стоимость лечения от 800 рублей. Гарантия.
Важно! Не выполняйте эти инструкции, если в вашем друпал сайте есть костыли (тема ваша уникализирована и установлена в не правильной папке, какие-то самописные модули сделанные не по Drupal way)
Вы можете пойти дальше и установить на свой сайт Ай-Болит не все, но больую часть беды вы увидите своими глазами автоматически.
Вы можете попросить разработчиков Ай-Болита вылечить ваш сайт за сумму от 2900 рублей.
Важно
все это только малая часть. рассмотрено удаление только одного вируса. В других случаях часто бывают другие подходы. Обращайтесь, буду рад подискутировать на этот счет.
order meloxicam 7.5mg…
order meloxicam 7.5mg generic - buy meloxicam generic toradol for sale online
order omnicef 300 mg generic…
order omnicef 300 mg generic - buy cheap generic cleocin clindamycin where to buy
order trihexyphenidyl online…
order trihexyphenidyl online - where to buy artane without a prescription purchase cheap diclofenac gel
accutane 40mg over the…
accutane 40mg over the counter - accutane 40mg usa deltasone 20mg cost
buy generic prednisone for…
buy generic prednisone for sale - permethrin brand zovirax generic
Reading this site was a…
Reading this site was a pleasure. The information provided was both useful and enjoyable. Thanks for the great content! international moving company
acticin tablet - buy…
acticin tablet - buy tretinoin cream online cheap tretinoin brand
buy betamethasone online…
buy betamethasone online cheap - buy adapalene cream brand monobenzone
brand metronidazole 400mg -…
brand metronidazole 400mg - flagyl 200mg over the counter cenforce drug
augmentin 625mg without…
augmentin 625mg without prescription - buy synthroid 75mcg online cheap cheap levoxyl pill
Нумерация страниц
Добавить комментарий