Drupal Отправляет тонны спама по электронной почте
По-видимому, один из модулей, установленных на моем сайте drupal, отправлял СПАМ-письма с моего сервера, как (имя)_(фамилия)@(имя_сервера).com, ему удалось отправить 1000 писем и поставить в очередь 97 000 писем только в первый день..
Сначала, основываясь на деталях электронной почты, я решил, что оно было отправлено со страницы PHP под названием diff.php под /sites/all/modules/contrib/libraries/tests/libraries/diff.php
, поэтому я удалил всю папку с тестами, но теперь электронные письма отправляются непосредственно с моего корневого сайта..
Я установил Взломанный! к копии разработки, и вот копия результатов:
Похоже ли это на проблему с модулем? должен ли я переустановить измененные модули?
2 answers
Версия ядра, которую вы используете - 7.30 - чрезвычайно уязвима. Пока вы используете любую версию core до 7.32, ваш сайт будет оставаться уязвимым. Уязвимость позволит изменять модули (которые могут быть обнаружены с помощью Взломан! модуль), помещающий исполняемый PHP в базу данных (которую нельзя обнаружить с помощью Взломанного!) и внедрение вредоносных сценариев оболочки (которые не могут быть обнаружен с помощью Взломан!).
Простая замена ядра и модулей Drupal на не взломанные версии не приведет к удалению бэкдоров.
Просто просмотрите измененные модули и переустановите их , а не . На данный момент, даже если вы все замените, злоумышленник, вероятно, заразил вашу базу данных эксплойтами, а также установил несколько хорошо скрытых бэкдоров на ваш сайт на уровне оболочки.
Лучший способ - удалить ваш весь сайт, перестроить его с нуля на чистом vhost, а затем восстановить его содержимое из резервной копии, сделанной до октября. 15, 2014.
Прочитайте это руководство, чтобы понять серьезность этой уязвимости: https://www.drupal.org/SA-CORE-2014-005 . Также читайте:
- https://www.drupal.org/node/2357241
- http://www.linuxjournal.com/content/drupageddon-sql-injection-database-abstraction-and-hundreds-thousands-web-sites
Если вы не можете удалить сайт и восстановить его из резервной копии, прочитайте это о восстановлении: Drupal SA-CORE-2014-005 - Как определить, был ли мой сервер/сайты скомпрометированы?.
После очистки вашего сайта, чтобы быть предупрежденным, если это произойдет снова, рассмотрите возможность установки Проверка целостности файлов. Этот модуль будет контролировать целостность почти всех файлов на вашем сайте и отправит вам электронное письмо, если обнаружит, что целостность файлов нарушена.
Да - запустите в новой папке и установите все новое. (вы можете попробовать скопировать неизмененные модули из вашей старой установки, но я бы не советовал этого делать)
Позаботьтесь о любых изменениях, внесенных в основные или добавленные модули (на самом деле, это плохая практика..) - поэтому сначала сохраните свой код и проверьте, не работает ли что-то.