web-dev-qa-db-ja.com

Drupal大量のスパムメールの送信

どうやら、私のdrupalサイトにインストールされているモジュールの1つが(name)_(lastname)@(myservername).comのように私のサーバーからスパムメールを送信しており、1000のメールを送信し、97,000のメールをキューに入れることができました初日のみ.

最初はメールの詳細に基づいて、PHPページから/sites/all/modules/contrib/libraries/tests/libraries/diff.phpの下にあるdiff.phpから送信されていると考えたので、testsフォルダー全体を削除しましたが、今はメールが表示されていますルートサイトから直接..ハッキングをインストールしました!開発コピーに、そしてこれが結果のコピーです: enter image description here

モジュールの問題のように見えますか?変更したモジュールを再インストールする必要がありますか?

2
Ken

実行しているコアのバージョン-7.30-は extremely 脆弱です。 7.32より前のバージョンのコアを実行している限り、サイトは main 脆弱です。この脆弱性により、モジュールの変更が可能になります( /Hacked! モジュール)、実行可能ファイルPHPをデータベースに配置します(できないHacked!)、および悪意のあるシェルスクリプトを挿入します(できないHacked! )。

Drupalコアとモジュールをハッキングされていないバージョンに置き換えるだけでは、バックドアは削除されません。

変更されたモジュールを調べて再インストールするだけではできません。この時点で、すべてを置き換えても、侵入者はおそらくデータベースをエクスプロイトに感染させているだけでなく、シェルレベルでサイトにいくつかのよく隠されたバックドアをインストールしています。

最善の手段は、サイト全体を削除してクリーンなvhostで最初から再構築し、2014年10月15日より前に作成されたバックアップからそのコンテンツを復元することです。

これを読むSAこの脆弱性の重大度を理解するには: https://www.drupal.org/SA-CORE-2014-005 。また読む:

サイトを削除してバックアップから復元できない場合は、リカバリについて次をお読みください: Drupal SA-CORE-2014-005-サーバー/サイトが侵害されたかどうかを確認する方法

サイトをクリーンアップしました。これが再び発生した場合に警告を表示するには、 ファイルの整合性チェックをインストールすることを検討してください 。このモジュールは、サイト上のほとんどすべてのファイルの整合性を監視し、ファイルの整合性が侵害されていることを検出した場合にメールを送信します。

7
Free Radical

はい-新しいフォルダから始めて、すべてを新しくインストールします。 (古いインストールから変更されていないモジュールをコピーしてみることができますが、お勧めしません)

コアモジュールまたはコントリビュートされたモジュールに対して行われたカスタマイズに注意してください(実際には、これは悪い習慣です...)。したがって、まずコードを保持し、何かが機能しない場合はそこに戻って確認します。

0
rémy