Submitted by josem on
Bonjour, j'ai un site de test en drupal 7.
Il y a quelqu'un qui a inseré un script php dans le module flexslider et envoi du spam a partir de mon site.
Il est inseré dans : /public_html/sites/all/modules/flexslider/theme/globa.php et le script s'appelle donc globa.php
Suite a l'avertissement de mon hebergeur de l'envoi de spam , j'ai effacé le script, changé tous les passwords et updaté completement le drupal, mais le pb recommence au bout de quelque jours quand je remets le site en ligne.
Pensez-vous qu'il y a une autre solution que tout effacer et remetre au nouveau le site en ligne a partir d'une copie ancienne?
Avant ces pbs de https://www.drupal.org/SA-CORE-2014-005.
Il y a des choses a verifier en priorité ?
Le site est hors service et le public.html a eté renommé
Merci d'avance
D'après ce qu'on a pu lire,
Permalien Soumis par vincent59 le 25 Novembre, 2014 - 17:09
D'après ce qu'on a pu lire, les injections SQL ont créé des utilisateurs admin, et ajouté des fichiers .php un peu partout dans les sous-répertoires de modules. Il y a aussi potentiellement des entrées dans le menu_router.
Si tu peux, tu fais une installation de la 7.34 et de tous les modules existants (juste les sources), puis tu copies le fichier settings.php et le répertoire sites/default/files dans la nouvelle arborescence.
Ensuite on renomme l'ancien répertoire de base en _old et la 7.34 en base, et il ne reste plus qu'à tester.
Sinon au pire, c'est la reprise des backups avant le 15/10
Bonjour Vincent quand tu dis
Permalien Soumis par josem le 3 Décembre, 2014 - 11:11
Bonjour Vincent quand tu dis de copier (juste les sources), tu veux dire de copier les fichiers des modules au format .tar.gz dans le nouveau rep sites/all/modules ???
Il faudra copier les anciens dossiers themes et libraries chacun dans son rep au meme format ?
Merci
Oui, le plus sur est de
Permalien Soumis par vincent59 le 3 Décembre, 2014 - 11:44
Oui, le plus sur est de refaire une installation des fichiers (Drupal + modules + thèmes) et rebrancher sur la base de données.
J'ai vu le même cas sur un site qui a envoyé des milliers de spam.
J'avais environ 40 fichiers infectés, soit des nouveaux fichiers, soit des fichiers existants modifiés, dans les modules et le thème.
Tous les fichiers infectés dataient de la même journée / minute, et ils contenaient la chaine PCT4BA6ODSE
J'avais vu la résolution ici : http://allabouttodd.com/drupal/hacked-PCT4BA6ODSE
Bonjour,
Permalien Soumis par William le 26 Novembre, 2014 - 09:57
Bonjour,
Tu peux aussi :
- Rapatrier les fichiers du serveur sur le PC.
- Faire une recherche sur 'type:PHP'
- Trier par date ces fichiers PHP.
Tous les fichiers pirates seront regroupés à la même date / heure que globa.php. Il faut alors les repérer sur le host et les supprimer.
Bonjour William, je n'ai pas
Permalien Soumis par josem le 30 Novembre, 2014 - 18:15
Bonjour William,
je n'ai pas pu apliquer ta methode parce que j'avais effacé le premier fichier globa.php.
De plus quand tu recuperes les fichiers du site web par ftp et tu les copies sur le disque dur local ils prennent la date et heure du repatriment. Donc j'ai decidé la methode de recuperer les site a partir d'un backup.
Mais j'ai quelques pbs et je vais ouvrir un autre fil.
Merci de ta réponse.
Préserver l'horodatage
Permalien Soumis par William le 1 Décembre, 2014 - 09:10
Préserver l'horodatage
Effectivement, je n'avais pas précisé que sur FileZilla, en allant sur 'Transfert'', il faut cocher 'Préserver l'horodatage des fichiers transférés et l'on garde la date où les fichiers sont déposés.
Merci pour vos réponses, j'ai
Permalien Soumis par josem le 26 Novembre, 2014 - 13:23
Merci pour vos réponses, je vais essayer et vous tiens au courant
Bonjour, je ne sais pas
Permalien Soumis par josem le 18 Décembre, 2014 - 19:36
Bonjour, je ne sais pas pourquoi, ayant lu que c'était un pb d'injection sql,je pensais que la bdd était compromise.
Donc j'ai pas fait attention et au premier essai je l'ai effacé sans avoir une copie de sauvegarde actualisée. Ça a mal demarré.
Par la suite je n'ai pas pu apliquer la methode proposée par William car j'avais aussi rapidement effacé le script php incriminé.
J'ai essayé la methode de vincent59 mais j'ai du mal me prendre et j'avais des pbs de bdd, differents messages de tables manquants.
Il ne me restait plus que a tout effacer et remonter la derniere sauvegarde. C'est ce que j'ai fais non sans difficultées.
Merci a tous et specialment a vincent59 et william.
Et n'oublier pas de faire vos updates de versions car n'importe quel site peut etre ataqué.