1

したがって、私のサイトは、サイト内のスクリプトに付着したある種のトロイの木馬またはウイルスに感染していると確信しています。Drupalベースのサイトを更新しようとするたびに、このばかげた「i'mhere」メッセージが表示された白い画面が表示されます。リロードすると、変更が有効になりますが、変更が保存されると、これが何をしているのかわかりません。これは、サイトの管理、IEによる新しいコンテンツの投稿、モジュールのアクティブ化/非アクティブ化などのときにのみポップアップします。

問題は、これを削除する方法や場所がわからないことです。ソースコードは悪意のあるコードを参照していません。この問題の答えを見つけようとして私が見たのは、iFrameリンクの種類のトロイの木馬ではありません。

私が試したこと:

-コンピュータを複数回スキャンしてウイルスを検出しました(おそらく、これらは安全でないFTPデータを攻撃し、クライアントを乗っ取って悪意のあるコードをアップロードします)

-FTPクレデンシャルを変更しました

-管理者ユーザーのパスワードをサイトのバックエンドに変更しました(Drupalログイン)

-Drupalを更新しました

これまでのところ何も機能しておらず、私はこれを理解しようとしています。正しい方向へのヒントをいただければ幸いです。

4

2 に答える 2

0

ウイルス感染を緩和、軽減、または防止するのに役立つ可能性があるツールのリストを次に示します。

bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm 
logcheck logwatch ninja nod32 ossec portsentry rkhunter
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire
uvscan wormscan zmbscap

このスタックオーバーフローの記事で説明されている、悪名高いバックドアの悪意のあるソフトウェアから直接発生しています。

次の簡単なコマンドを実行して、ウイルスの他のインスタンスを手動で検索することもできます。

[~] grep -r "base64_decode" .

thegothicparty.com のこの RAT 感染記事で示唆されているように: http://thegothicparty.com/dev/article/server-side-virus-rat/

于 2011-10-31T03:45:41.620 に答える
0

問題が実際に Drupal にあると仮定すると、フォームの送信中に発火するコードがモジュールのどこかにあるかどうかを最初に確認します。シェル アクセス権があり、それが Unix/Linux/etc. ベースのサーバーである場合は、Drupal ディレクトリに移動して次を実行します。

grep -r "i\'mhere" *

これにより、コードに存在するかどうか、およびそれが含まれているファイルがわかります。モジュールの場合 (可能性が高い)、それを無効にして、更新があるかどうかを確認するか、自分で変更してください。

コードに含まれていない場合は、データベースを確認してください。データベースのダンプを作成し、次を実行します。

cat databasedump.sql | grep "i\'mhere"

ここで、databasedump.sql は、作成したデータベース ダンプの名前です。これにより、少なくともデータが存在するテーブルの一般的なアイデアが得られるはずです。その後、どのように進めたいかを決定できます。以前のバックアップから復元する、問題のあるデータを削除するなどです。

どちらにもない場合は、ローカルである可能性があります。他の人に確認して、それが起こっているかどうかを確認してください。

ローカルでない場合は、本当に厄介なことがあり、他の誰かがあなたがチェックできるものについて他のアイデアを持っていることを願っています. :)

于 2010-07-27T01:49:49.317 に答える