Помощь с потенциальным трояном, прошедшим через сайт

Question

Помощь с потенциальным трояном, прошедшим через сайт

Поэтому я почти уверен, что мой сайт заражен каким-то трояном или вирусом, который подключился к сценариям на сайте. Каждый раз, когда я пытаюсь обновить свой сайт на Drupal, я получаю белый экран с этим глупым сообщением "я здесь". После перезагрузки изменения вступят в силу, но я не знаю, что это будет делать после сохранения изменений. Это появляется только при администрировании сайта, публикации нового контента в IE, активации / деактивации модулей и т. Д.

Проблема в том, что я не имею ни малейшего представления о том, как и куда это убрать. Исходный код не содержит ссылки на какой-либо вредоносный код. Это не тот тип троянских ссылок, который я видел, когда пытался найти ответ на эту проблему.

Вещи, которые я пробовал:

- Несколько раз проверял компьютер на наличие вирусов (предположительно, эти вещи атакуют небезопасные данные FTP и захватывают ваш клиент для загрузки вредоносного кода)

Измененные учетные данные FTP

-Измененные пароли администратора для бэкэнда сайта (логин Drupal)

Обновлен Drupal

Пока ничего не получалось, и я нахожусь в своем уме, чтобы понять это. Любые советы в правильном направлении будут с благодарностью.

1

drupal virus trojan

Источник

user402310 26 июл '10 в 13:34

2 ответа

Другие вопросы по тегам drupal virus trojan

27 июл '10 в 01:49 2010-07-27 01:49 · Answer 1 · 2010-07-27 01:49

Предполагая, что проблема действительно в Drupal, сначала проверьте, есть ли какой-то код в модуле, где-то срабатывает во время отправки формы. Если у вас есть доступ к оболочке, и это сервер на основе Unix/Linux/etc., перейдите в каталог Drupal и запустите:

grep -r "i\'mhere" *

Это скажет вам, существует ли он в коде и какой файл содержит его. Если это модуль (скорее всего), отключите его и либо посмотрите, есть ли обновление, либо измените его самостоятельно.

Если это не в коде, проверьте вашу базу данных. Создайте дамп своей базы данных и запустите:

cat databasedump.sql | grep "i\'mhere"

Где databasedump.sql - имя созданного вами дампа базы данных. Это должно, по крайней мере, дать вам общее представление о том, в какой таблице существуют данные. Затем вы можете решить, как продолжить работу: восстановить данные из предыдущей резервной копии, удалить поврежденные данные и т. Д.

Если это не так, он может быть локальным. Проверьте с другими, чтобы увидеть, происходит ли это для них.

Если это не локально, у вас есть что-то действительно неприятное, и, надеюсь, у кого-то есть другие идеи о том, что вы можете проверить.:)

user218152 31 окт '11 в 03:45 2011-10-31 03:45 · Answer 2 · 2011-10-31 03:45

Вот список потенциально полезных инструментов, которые могут помочь вам облегчить, уменьшить или предотвратить заражение вирусом:

bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm 
logcheck logwatch ninja nod32 ossec portsentry rkhunter
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire
uvscan wormscan zmbscap

Он идет прямо из печально известного бэкдора, описанного в этой статье.

Вы можете вручную искать другие экземпляры вируса, выполнив эту простую команду:

[~] grep -r "base64_decode" .

как предложено в этой статье о заражении RAT на thegothicparty.com: http://thegothicparty.com/dev/article/server-side-virus-rat/