Как вылечить от вирусов сайты на Drupal ? [Большая и подробная инструкция]

Почему сайты на Друпал заражаются?

1. Несвоевременные обновления.

2. Не правильные настройки (как минимум следует следовать тому что говорит сам друпал в отчёте о состоянии)

3. Использованы костыли. Например свёрстаны темы, в темы "инклудами" вставлены формы обратной связи или прочие интерактивные скрипты без должной защиты.

4. Уведены пароли из Тотал Командера (рекомендуем FAR)

Почему следует лечить вирус?

Это как зомби-апокалипсис. Сначала один сайт, потом другой ,потом все.

Из-за вирусов ваши сайты понижаются в поисковой выдаче.

Некоторые ваши посетители не смогут открыть Ваш сайт, так как их антивирус его просто заблокирует.

Вы можете потерять конфиденциальные данные.

Сайты с вирусами запрещают к подаче в контекстную рекламу - вы потеряете клиентов. Более того, поисковые системы могут исключить ваш сайт из индексации основываясь на факте заражённости вашего сайта.

Как быстро найти вирус/его последствия и вылечить самостоятельно на Drupal от BlackSeo

0. Ниже будет пример о том, как лечить ваши сайты находясь на сайте «Доброхост».

1. Зайдите в командную строку по ssh

2. Попросите Отличный шаред Хостинг для Друпал

или своего хостинг-провайдера. если не установлен, установить drush (программа для Drupal, которая позволит делать обновления из консоли). Проверить установлен ли у вас drush можно так: drush -version находясь в командой строке по ssh. 

3. Уберите сайт на обслуживание средствами Drupal.

4. Не торопитесь сразу делать обновления. Попытайтесь сначала убрать максимальнос следы вирусов. для этого используйте в консоли подключившись по ssh команду find

5. Зайдите в своей папку domains с помощью команды cd

cd domains/ваш сайт

ваш сайт на Доброхосте находится в папке www

поэтому вы можее смело написать команду

find www -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r | less 

с помощью клавиши стрелок вверх/вниз вы сможете прокручивать результат команды findтаким образом, в самом верху вы увидите последние изменённые файлы -крайне вероятно что именно там вы найдете беду. Самое распространение что сейчас можно встретить в Drupal (особенно шестой версии) это вот такой  Эксплойт - https://www.drupal.org/node/2327135  который делает много всяких пакостей. В основном это творение хитрым способом продвигает свои проекты. Встраивая в ваш сайт «свой сайт».

Внимание! Перед тем как взяться за команду rm -rf (рекурсивное удаление) проверьте нет ли симлинков. Часто этот вирус содержит симлинк, который по ФТП не удалится, а если вы запустите рекурсивное удаление - можете потерять все свои сайты так как правило симлинк содержит в себе ссылку на корень всех ваших сайтов.

Почередно выполните следующие команды

find ~/. -path \*/sym/\* -print   - если первая команда находит, выполняем дальше

find ~/. -path \*/sym/root\* -print

find ~/. -path \*/sym/root\* -print -exec rm {} \;

find ~/. -path \*/sym/\* -print

 

сам процесс удаления

find ~/. -path \*/sym/.htaccess\* -print  -delete

find ~/. -path \*/sym -print -delete

 

Следующие шаги. Для Drupal 6 ! - вам просто необходимо 

1. Скачать новый друпал, и заменить .htaccsess - в корне на свежий

2. Создать новый .htccacsee согласно инструкции https://www.drupal.org/SA-CORE-2013-003 и поместиьт его в корень files, temp (или какие у вас указаны файловые директории) - это позволит вирусы распространяться помедленне

3. Зайти в ваш settings.php если речь идет о указанном вирусе с большой вероятностью, у вас там сидит зверье в начале или конце файла вот такого формата

4. include('/пусть до сайта/modules/book/part1_book-rtl.css');  - или подобное  удалите эту строчку

После этого, вам необходимо зайти на свой сайт зараженный браузером (если ваш антивирус это позволит) и найти какой код встроен в ваш сайт посмотрев «Исходный код» в нашем случае чатсо это было нечто подобное (но варианты разные)

<script type="text/javascript">

document.write('<' + 'di' + 'v sty' + 'le="position: absolute; l' + 'eft: -1901px; t' + 'op' + ': -2803px;">'); 

</script>

 

<a href="сайт/index.html">справочник домашних телефонов н новгорода</a>

 

<a href="сайт/sites/Magnitogorsk/index.html">телефонная база сумы</a>

 

много другого мусора

 

Что бы быстрее найти, предлагаем использовать grep вот команда, которую следует выполнить находясь в корне вашего сайта

grep -rl "телефонная" *    - эта команда найдет все файлы где есть «телефонная».   

 

Скорее всего это будут все темы вашего сайта. Аккуратно заходите в них удобным редактором и удаляте лишний кусок, которого там быть не должно.

 

После этого нужно найти файлы: css.php,  img.php, js.php

 - скорее всего это зло. Смело удаляйте 

find domains/ -name 'css.php'  - пример поиска этих файлов - найдет все css.php

 

так же нужно найти папку, в которую записаны «города и прочие справочники» так как каждый раз они разные, ищите по дате и удаляйте лишнее.

 

Послпе этого, найдите парсер SimplePie  -

grep -rl "SimplePie" * 

И так же удалите все что нашли. Как правило это так же вирус. Внимание! Удалять нужно не файлы где содержится этот кусок, а только тело вируса. Как правило оно начинается

//Create a new SimplePieCache object^M

и заканчивается

echo $prewue."_bad".$t."_bad".$t."_error_hash".$postwue;^M

}^M

другая часть вирусов прячется под видом Акисмета

grep -rl "Plugin Name: Akismet" * 

искореняйте зло.

После этого, если ваш Друпал работает с правами 444 - измениите всем settings.php права на 444 или минимально возможные.

Находясь в корне сайта это можно сделать одной командой

find domains/ -name 'settings.php' | xargs chmod 0444

Завершение

Теперь смело обновляйте Drupal до последних версий. Сделать это в консоли очень просто, зайдите в папук sites/all вашего сайта

там пишите

drush pm-update -  обновить Друпал

drushh cc all - обновить кеш Друпал

drush core-cron - дернуть cron  drupal

после этого

Смените все пароли (на сайт, на хостинг, на ssh, на фтп, на доступ администратора к Drupal)

Вопросы

Вы можете воспользоваться моими услугами по вылечиванию Друпал-сайтов от вирусов. Напишите на rburnis@gmail.com  стоимость лечения от 800 рублей. Гарантия.

Важно! Не выполняйте эти инструкции, если в вашем друпал сайте есть костыли (тема ваша уникализирована и установлена в не правильной папке, какие-то самописные модули сделанные не по Drupal way)

Вы можете пойти дальше и установить на свой сайт Ай-Болит не все, но больую часть беды вы увидите своими глазами автоматически.

Вы можете попросить разработчиков Ай-Болита вылечить ваш сайт за сумму от 2900 рублей.

Важно

все это только малая часть. рассмотрено удаление только одного вируса. В других случаях часто бывают другие подходы. Обращайтесь, буду рад подискутировать на этот счет.

Review from Tiesto buy cheap augmentin Diabetes is numerous diseases that involve issues with the hormone insulin Normally, the pancreas releases insulin to help your body store and use the sugar and fat from the meals you eat Diabetes can happen when the pancreas produces very little or no insulin, or when the physique does not respond appropriately to insulin

Добавить комментарий

Содержимое данного поля является приватным и не предназначено для показа.

Filtered HTML

  • Допустимые HTML-теги: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.