1. Accueil
  2. Question et réponse
  3. Aide avec un cheval de Troie potentiel passé sur le site

Aide avec un cheval de Troie potentiel passé sur le site

2010-07-26 26 views
1

Je suis donc sûr que mon site a été infecté par un cheval de Troie ou un virus qui s'attache aux scripts du site. Chaque fois que j'essaie de mettre à jour mon site basé sur Drupal, je reçois un écran blanc avec ce stupide message "i'mhere". Lors du rechargement, les modifications prendront effet, mais je ne sais pas ce que cela fait une fois les modifications enregistrées. Cela apparaît seulement en adminstrant le site, I.E. publier du nouveau contenu, activer/désactiver des modules, etc.Aide avec un cheval de Troie potentiel passé sur le site

Le problème est, je n'ai pas la moindre idée de comment et où aller pour l'enlever. Le code source ne fait référence à aucun code malveillant. Ce n'est pas le type de cheval de Troie iFrame que j'ai vu évoluer en essayant de trouver une réponse à ce problème.

choses que j'ai essayé:

ordinateur -Scanned plusieurs fois pour le virus (soi-disant ces choses attaquent les données FTP non sécurisés & pirater votre client pour télécharger du code malveillant)

pouvoirs -Changed FTP

-Changer les mots de passe des utilisateurs admin vers le backend du site (login Drupal)

-Mises à jour Drupal

Rien n'a fonctionné jusqu'à présent et je suis à bout de nerfs en essayant de comprendre cela. Tous les conseils dans la bonne direction seraient grandement appréciés.

Source

2010-07-26 Blair MacGregor

+0

Vous pouvez vouloir regarder cette question: http://drupal.org/node/514448 –

+0

Ce n'est pas un faux positif si, donc je ne vois pas comment c'est pertinent à ma question. J'ai également mis à niveau vers la version 6.17. –

+1

Avez-vous scanné vos directeurs pour le texte, il semble qu'il y ait un module avec du texte de débogage. –

Répondre

0

En supposant que le problème est vraiment Drupal, vérifiez d'abord s'il y a du code dans un module qui se déclenche lors d'un envoi de formulaire. Si vous avez accès au shell et il est un Unix/Linux/serveur, etc. basé, accédez au répertoire Drupal et exécutez:

grep -r "i\'mhere" *

Cela vous indiquera si elle existe dans le code et ce fichier contient. Si c'est un module (probable), désactivez-le et voyez s'il y a une mise à jour ou modifiez-le vous-même.

Si ce n'est pas dans le code, vérifiez votre base de données. Créer une sauvegarde de votre base de données et exécuter:

cat databasedump.sql | grep "i\'mhere"

Où databasedump.sql est le nom de la base de données que vous venez de créer de vidage. Cela devrait au moins vous donner une idée générale de la table dans laquelle les données existent. Ensuite, vous pouvez décider comment vous voulez procéder: restaurer à partir d'une sauvegarde précédente, supprimer les données incriminées, etc

Si ce n'est pas dans l'une ou l'autre , ça pourrait être local. Vérifiez avec les autres pour voir si cela se produit pour eux.

Si ce n'est pas local, vous avez quelque chose de vraiment méchant et j'espère que quelqu'un d'autre a d'autres idées sur ce que vous pouvez vérifier. :)

Source

2010-07-27 01:49:49

+0

Mark - Merci pour les suggestions; très appréciée. J'ai basculé entre une base de données plus ancienne et celle que j'ai maintenant et les problèmes se produisent uniquement avec la nouvelle base de données. Donc j'ai au moins ça. Le problème a été de localiser ce code. Rien ne surgit avec l'une ou l'autre question en ce qui concerne le "i'mhere" message. Est-ce qu'il est masqué? Pourrait-il y avoir un autre moyen de le trouver? Je préférerais vraiment ne pas avoir à partir de zéro avec l'ancienne base de données; De plus, je crains que le problème ne ressurgisse à nouveau. –

+0

Si c'est obscurci, vous m'avez dit comment faire précéder autre chose qu'une restauration: il y a un nombre infini de façons d'obscurcir le texte. Si vous le pouvez, j'aurais au moins mis en place un miroir du site à partir d'un état antérieur pour voir si c'est vraiment Drupal qui cause le problème. Cela pourrait vous éviter au moins un chagrin d'amour si le problème se produit même dans les états antérieurs du site: cela indiquerait que le problème n'est pas avec Drupal, mais ailleurs. Si vous faites cela, vous allez vouloir restaurer à la fois la base de données et le code. L'utilisation d'une sauvegarde antérieure de la base de données n'écartera pas les problèmes liés au code obscurci quelque part. –

+0

Pas certain que cela ait quelque chose à voir avec Drupal. J'ai aidé de nombreux webmasters avec des problèmes similaires. Voir ma réponse détaillée. – SwiftArchitect

0

Voici une liste des outils potentiellement utiles qui peuvent vous aider à soulager, réduire ou prévenir une infection par le virus:

bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm 
logcheck logwatch ninja nod32 ossec portsentry rkhunter 
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire 
uvscan wormscan zmbscap

Il sort tout droit d'un logiciel malveillant porte dérobée infâme, décrit sur this stackoverflow article.

Vous pouvez rechercher manuellement les autres instances du virus en exécutant cette commande simple:

[~] grep -r "base64_decode" .

comme suggéré dans cet article RAT de l'infection sur thegothicparty.com: http://thegothicparty.com/dev/article/server-side-virus-rat/

Source

2011-10-31 03:45:41 SwiftArchitect

 Questions connexes

  • Aucun problème connexe^_^