Вы здесь

Как найти уязвимость сервера?

1

Доброго времени суток!
Вопрос не совсем про Drupal, хотя был бы только он (Drupal), полагаю вопроса бы и не было.
У клиента на хостинге reg ru, находятся 3 сайта, сделанные разными людьми, так вот, они еще и все на разных движках Joomla, Wordpress и Drupal. С периодичностью в неделю сервер ломают и начинается заливка всякой пхп гадости, причем файлы Drupal сайта крайне редко оказываются измененными или зараженными, подозреваю что лазейку находят где то через двух урод*в (да простят меня их фанаты).
Что сделано - заменены все пароли, обновлены все CMS и модули и плагины, и даже установлены какие то плагины антивирусы причем на все кроме Drupal сайта.
Что интересно, на отдельном хостинге Drupal сайт себя отлично чувствует (проверял в течение месяца). Подозреваю что бэкдор зарыт в кривых плагинах джумлы или вордпресса.
Подскажите какие нибудь действия или инструменты как отследить лазейку?

Версия Drupal: 
7.x
Вопрос задан 24.01.2018 - 20:01

Ответы

2

Теоретически:

  1. Включаете логирование http запросов веб-сервером
  2. Ставите любой инструмент наблюдения за файлами (например http://santivi.com/ )
  3. Как только приходит уведомление, что файлы изменились, идёте изучать access логи за этот день на предмет странных post и get запросов
  4. Если ничего не находите, то возможно взломали ftp/ssh/apache/nginx

Ну и по итогу настраиваете права доступа к файлам и папкам, чтобы даже с открытой уязвимостью у атакующего не было возможности навредить серверу.

Ответ дан 24.01.2018 - 20:30
Аватар пользователя xandeadx
xandeadx
1501