Usuwanie wirusa ze strony internetowej postawionej na Drupal 7, nie aktualizowanym od 8 lat!

Usuwanie wirusa ze strony internetowej opartej na Drupal

Z początkiem nowego roku trafił nam się szczególny przypadek, a mianowicie zawirusowana strona internetowa oparta na Drupal 7. Wyjątkowość tego zdarzenia, wynika z rzadkości jego występowania, gdyż na palcach jednej ręki można zliczyć zgłaszane do naszego serwisu incydenty związane z nieuprawnionym przejęciem kontroli nad witryną opartą o w/w CMS. Po części wynika to z tego, że Drupal pomimo wysokiej, bo trzeciej pozycji w rankingu najczęściej stosowanych systemów zarządzania treścią, pod względem ilości stron www napędzanych jego silnikiem, nadal pozostaje daleko w tyle w stosunku do stron działających na Wordpress i Joomla. Z drugiej strony wspomniana niezawodność tego systemu, wynika niewątpliwie również z jego architektury oraz polityki stosowanej przez zespół do spraw bezpieczeństwa.

Jak więc doszło do sytuacji, że Drupal został zainfekowany wirusem? Przyczyna była taka sama, jak w zdecydowanej większości przypadków zawirusowania stron, opartych o jakiekolwiek systemy CMS, a mianowicie zaniechanie przeprowadzania aktualizacji. Ten przypadek jest szczególny jeszcze z jednego powodu, oprócz tego, że wirus zagnieździł się na Drupalowej stronce, to w dodatku nie była ona aktualizowana przez rekordowy czas, bo aż 8 lat! Ten serwis był dość popularny, więc to cud, że przez tyle czasu nic złego się nie wydarzyło.

Czas na relację z tego w jakim stanie była w/w witryna w momencie naszego pierwszego kontaktu, opis tego co zastaliśmy na serwerze oraz z przebiegu usuwania wirusa ze strony internetowej.

Zgłoszenie było wyjątkowo krótkie, oto jego fragment: "Nasza strona internetowa nie działa od kilku dni, zamiast strony pojawia się błąd, a hosting twierdzi, że prawdopodobnie był przeprowadzony jakiś atak hakerski, witryna jest zainfekowana, nie mogą zająć się usunięciem wirusa i nie biorą za to odpowiedzialności".

Przy próbie wywołania strony w przeglądarce, użytkowników faktycznie witał komunikat Fatal error, ze wskazaniem pliku skórki, który jest przyczyną błędu. Po analizie tego pliku okazało się, że doklejony został do niego złośliwy kod, który powodował zaburzenia w działaniu strony. W późniejszym czasie okazało się, że plików zmodyfikowanych, bądź wygenerowanych przez wirusa jest dużo więcej.

Standardowo strona została przeniesiona i uruchomiona w odizolowanym, specjalnie przygotowanym środowisku. Skanery antywirusowe wykryły, że w strukturze witryny znajduje się bardzo dużo plików zmodyfikowanych przez wirusa PHP/Kryptik.BL, bądź też nowych plików, umieszczonych na serwerze w wyniku działania złośliwego kodu.

W kolejnym kroku strona została poddana procesowi dokładnego oczyszczania z wirusa, a następnie przeszła przez ścieżkę aktualizacji rdzenia systemu oraz modułów systemu. Wszystkie 18 modułów wykorzystywanych przez witrynę wymagało aktualizacji, w tym łatki do 15 modułów były oflagowane jako "Security update". O ile aktualizacja samego rdzenia Drupala nie wywołała większych problemów w działaniu strony (przypominam, że skok między wersjami obejmował czas 8 lat), to odświeżenie części tak długo nie aktualizowanych modułów, spowodowało wystąpienie błędów, które unieruchomiły stronę. Wymusiło to konieczność dostosowania strony do aktualnych wersji modułów, co też zostało wykonane.

Na koniec na stronie zostały wykonane standardowe czynności wzmacniające bezpieczeństwo oraz zaimplementowane zostały dodatkowe zabezpieczenia, które pomogą uchronić ten serwis od podobnych zdarzeń.

Oto w czym mogę Ci pomóc:

Usuwanie szkodliwego oprogramowania ze strony internetowej opartej o na CMS WodPress, Joomla, Drupal i innych.
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.

Copyright © robofix.eu