drupal 7 – Software malicioso en el sitio web de D7: incluido en la lista negra de Google

Pregunta:

Quiero contarles sobre el ataque de malware a mi sitio web Drupal. No solo por sus sugerencias, sino también para crear algo útil para cualquiera que pueda sufrir los mismos problemas. Bien…


CONFIGURACIÓN INICIAL

  • Drupal 7.9
  • Módulos activados:
    • NÚCLEO: Bloque, enlaces contextuales, registro de base de datos, campo, almacenamiento SQL de campo, interfaz de usuario de campo, archivo, filtro, imagen, lista, configuración regional, menú, nodo, número, opciones, superposición, ruta, filtro PHP, RDF, sistema, taxonomía, Texto, barra de herramientas, usuario
    • CCK: Multiseleccionado
    • SUITE DE HERRAMIENTAS DEL CAOS: Herramientas del caos
    • DATA / ORA: calendario, fecha, API de fecha, ventana emergente de fecha, vistas de fecha
    • CAMPOS: Correo electrónico, permiso de campo, enlace
    • OTROS: Google Plus One +1, Pathauto, Token, Peso
    • COMPARTIR: Comparte esto, Comparte este bloque
    • MENÚ DE TAXONOMÍA: Menú de taxonomía
    • VISTAS: Vistas, Visualización de PDF de Vistas, Vistas de PHP, Vistas de UI
    • OTROS MÓDULOS QUE HE ELIMINADO: CKEDITOR, VIEWS_SLIDESHOW, IMCE, DOMPDF, PRINT, WYSIWIG

MIS ERRORES DE CONFIGURACIÓN

  • Para satisfacer el cliente, modifiqué algunos de los módulos y nunca los actualicé (¡AUCH!)
  • El cliente estaba en posesión de los datos de inicio de sesión y tal vez su computadora no estaba segura (MMM …)
  • No tenía una copia del sitio web, porque confiaba en la copia de seguridad semanal del proveedor (¡DOH!)

SÍNTOMAS EXTERNOS DE ATAQUE

  • Todo el enlace de la página de inicio redirigido a un sitio web de malware.
  • Google incluyó el sitio web en la lista negra
  • Alerta crítica en el panel de Herramientas para webmasters de Google

SÍNTOMAS DE FTP

  • Muchos archivos "extraños": mainma3.php (¡encontré este en cada carpeta!), Functoins.php, sum75.html, wlc.html, aol.zip, chase.zip, chaseverification.zip, 501830549263.php, wp -conf.php y una docena de wtmXXXXn.php (dove X = numero) en la carpeta raíz. Todos estos archivos tenían muchas funciones maliciosas (unescape, base64_decode, eval, etc.)
  • Install.php fue modificado con una larga línea de código malicioso
  • A CADA archivo javascript se le agregó esta línea de código:; document.write ('');
  • La copia de seguridad semanal también fue infectada.
  • Docenas de solicitudes "extrañas" repetidas, que se encuentran en el panel de registro de Drupal (mi dominio está oculto con la cadena "—–"):
    • index.php? q = ckeditor / xss> Aviso: Desplazamiento indefinido: 5 en eval () (linea 29 di /web/htdocs/—–/home/modules/php/php.module(74): eval ( ) 'código d (1): eval ()' código d).
    • —– / usuario? destino = nodo / agregar> Inicio de sesión fallido por shadowke
    • calendar / week / 2012-W19? year = 2011 & mini = 2012-12> página no encontrada
    • misc /]}; P.optgroup = P.option; P.tbody = P.tfoot = P.colgroup = P.caption = P.thead; P.th = P.td; if (! c.support.htmlSerialize) P._default = [1,> página no encontrada
    • misc /) h.html (f? c (> página no encontrada
    • mail.htm> página no encontrada

RECUPERAR [Gracias a este artículo: http://25yearsofprogramming.com/blog/20070705.htm]

  1. He puesto el sitio web en modo de mantenimiento (error503.php + .htaccess). Tráfico abierto solo para mi dirección IP [consulte esta guía útil: http://25yearsofprogramming.com/blog/20070704.htm]
  2. He descargado todo el sitio web en local.
  3. Busqué y eliminé los archivos extraños> encontré cuarenta de ellos
  4. He buscado los archivos para estos mundos [con el software gratuito AGENT RANSACK]: eval (base64_decode ($ POST ["php"])), eval (, eval (, base64 , document.write, iframe, unescape, var div_colors, var _0x, CoreLibrariesHandler, pingnow, serchbot, km0ae9gr6m, c3284d, upd.php, timthumb .> He actuado de una de las siguientes formas: a) He reemplazado eval con php_eval () (la versión segura de eval de drupal) ; b) He anotado los módulos sospechosos; c) He comparado el código con el módulo descargado nuevo; d) He eliminado todo el código malicioso (consulte el javascript mencionado anteriormente)
  5. He buscado cambios en el sistema de archivos [con el software gratuito WINMERGE]
  6. He identificado algunos módulos sospechosos, gracias a la lista escrita en el punto 4 anterior, y gracias a algunas investigaciones en Google (name_of_the_module problema de seguridad, name_of_the_module pirateado, etc …) y en Secunia [http://secunia.com / community / advisories / search]
  7. He escaneado mi computadora (Avast, Search & Destroy, Malwarebytes Antimalware)> No encontré ningún virus o spyware
  8. He cambiado todos los inicios de sesión (ftp, cpanel, panel de administración de drupal)
  9. He recargado todo el sitio web
  10. Eliminé todos los módulos sospechosos: CKEDITOR, VIEWS_SLIDEWHOW, PRINT, DOMPDF, IMCE, CAPTCHA, WYSIWIG, WEBFORM.
  11. Le he contado toda la historia a la asistencia del proveedor.
  12. Solicito a Google una revisión (lo hicieron en 12 horas)

REGISTRO DE DRUPAL AHORA

docena de estos mensajes – wtm4698n.php? showimg = 1 & cookies = 1> página no encontrada – fhd42i3d.html> página no encontrada – wp-conf.php? t2471n = 1> página no encontrada – —– / usuario? destino = nodo / agregar> Error al iniciar sesión por Elovogue


LECCIONES APRENDIDAS

  • Nunca toque los módulos, para que pueda actualizarlos
  • Mantenga todo el inicio de sesión en una computadora segura / Utilice una computadora segura para trabajar en el FTP
  • Busque cualquier problema de seguridad antes de instalar un módulo
  • Mantenga una copia limpia del sitio web en algún lugar

MIS PREGUNTAS:

  • ¿Qué tipo de ataque he recibido?
  • ¿Hay otro módulo no seguro en mi instalación?
  • ¿Qué puedo hacer todavía?

¡Gracias a todos por vuestra paciencia!

Respuesta:

¿Qué tipo de ataque he recibido?

Es muy difícil de decir. Podría ser un virus de escritorio o una ejecución de php a través de uno de los módulos (o una configuración insegura). Es bueno que parezca haberlo bloqueado.

¿Hay otro módulo no seguro en mi instalación?

Debe descargar una copia "buena" de cada módulo de drupal.org y compararlos. Si aún no lo ha hecho, ponga todo el sitio en control de revisión (git) y haga que el sitio en vivo sea una verificación de git para que pueda ver rápidamente el "estado de git" si se cambia algo y luego "git reset –hard origin / master "para deshacer los cambios.

¿Qué puedo hacer todavía?

Además de la idea de git, sugiero instalar y ejecutar http://drupal.org/project/security_review, que puede tener algunas sugerencias. Otro ayudante potencial es: http://drupal.org/project/paranoia

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım