Помощь с потенциальным трояном, прошедшим через сайт

Question

Так что я уверен, что мой сайт заражен каким-то трояном или вирусом, который присоединился к сценариям на сайте.Каждый раз, когда я пытаюсь обновить свой сайт на Drupal, я получаю белый экран с этим глупым сообщением «я здесь».После перезагрузки изменения вступят в силу, но я не знаю, что это будет делать после сохранения изменений.Это появляется только при администрировании сайта, публикации нового контента в IE, активации / деактивации модулей и т. Д.

Проблема в том, что я не имею ни малейшего представления, как и куда это удалить.Исходный код не содержит ссылки на какой-либо вредоносный код.Это не тот тип троянских ссылок iFrame, который я видел, пытаясь найти ответ на эту проблему.

То, что я пробовал:

- Проверенный компьютер несколько раздля вирусов (предположительно эти вещи атакуют небезопасные данные FTP и перехватывают ваш клиент для загрузки вредоносного кода)

-Изменяются учетные данные FTP

-Изменяются пароли пользователей-администраторов на серверную часть сайта (вход в Drupal)

-Обновлен Drupal

До сих пор ничего не получалось, и я нахожусь в своем уме, пытаясь понять это.Любые советы в правильном направлении будут с благодарностью.

Answer 1

Вот список потенциально полезных инструментов, которые могут помочь вам облегчить, уменьшить или предотвратить заражение вирусом:

bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm 
logcheck logwatch ninja nod32 ossec portsentry rkhunter
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire
uvscan wormscan zmbscap

Он исходит прямо из печально известного вредоносного ПО, описанного в эта статья о стековом потоке .

Вы можете вручную искать другие экземпляры вируса, выполнив следующую простую команду:

[~] grep -r "base64_decode" .

, как предлагается в этомСтатья о заражении RAT на thegothicparty.com: http://thegothicparty.com/dev/article/server-side-virus-rat/

Answer 2

Предполагая, что проблема действительно в Drupal, сначала проверьте, есть ли какой-то код в модуле, где-то срабатывает во время отправки формы.Если у вас есть доступ к оболочке, и это сервер на основе Unix / Linux / и т. Д., Перейдите в каталог Drupal и запустите:

grep -r "i\'mhere" *

Это скажет вам, существует ли он в коде и какой файл содержит его.Если это модуль (скорее всего), отключите его и либо посмотрите, есть ли обновление, либо измените его самостоятельно.

Если его нет в коде, проверьте свою базу данных.Создайте дамп своей базы данных и запустите:

cat databasedump.sql | grep "i\'mhere"

Где databasedump.sql - имя только что созданного дампа базы данных.Это должно как минимум дать вам общее представление о том, в какой таблице существуют данные. Затем вы можете решить, как продолжить работу: восстановить данные из предыдущей резервной копии, удалить поврежденные данные и т. Д.

Если это не такв любом, это может быть местным.Посоветуйтесь с другими, чтобы выяснить, происходит ли это для них.

Если это не локально, у вас есть что-то действительно неприятное, и, надеюсь, у кого-то еще есть какие-то идеи о том, что вы можете проверить.:)