Infected Drupal 6 pagina del sito con una shell php

Il tuo server stesso (non Drupal) è stato compromesso da un exploit Linux (root) locale. Sebbene Drupal possa aver contribuito a ottenere l'exploit sul tuo computer, il tuo computer è stato sfruttato con CVE- 2013-2094 , " semtex.c exploit "

$ md5 fileshare.ro_trolled
MD5 (fileshare.ro_trolled) = ff1e9d1fc459dd83333fd94dbe36229a

$ strings fileshare.ro_trolled | grep -i @fu
[email protected] 2010

Pulizia Drupal non farà nulla per te, io mi sto espandendo su ciò che l'exploit farà reinventando la ruota, puoi leggere su cosa fa l'exploit (da allora è stato portato alla perfezione) qui

Il mio suggerimento inizia da zero con un'installazione pulita. L'unico meccanismo per garantire che nient'altro sia backdoor (top, netstat, ecc.) Dovrebbe essere stato l'esecuzione di Tripwire o qualcosa di simile, dove è possibile tornare indietro e confrontare i checksum con le fonti attendibili.

Hai chiesto come trovare il software dannoso su un server compromesso. La risposta breve è che non puoi. Potresti riuscire a trovare alcuni dei componenti installati dal compromesso, ma per essere sicuro, devi essere certo di aver trovato tutto e non puoi farlo. (Con sistemi operativi moderni complessi, equivale a dimostrare un negativo.)

Una volta che una macchina è stata compromessa, la sola cosa sicura da fare è cancellarla e ricostruirla, perché altrimenti non puoi mai essere sicuro di aver rimosso tutto il codice dannoso.

Per il tuo caso particolare, Drupal ha alcuni consigli sul recupero qui: link Non sarà possibile reinstallare il Codice Drupal che hai La macchina ricostruita deve avere solo il codice nuovo, pulito e i dati puliti dal vecchio sito. Un esempio di dati che potrebbero non essere puliti è una tabella delle password. Gli aggressori potrebbero aver creato nuove voci utente o modificato le password delle voci esistenti. Pertanto, dovrai ripristinare la tabella delle password da un backup eseguito prima del compromesso.