Usuwanie wirusa ze strony internetowej postawionej na Drupal 7, nie aktualizowanym od 8 lat!

Usuwanie wirusa ze strony internetowej opartej na Drupal

Z początkiem nowego roku trafił się dość szczególny przypadek, a mianowicie zawirusowana strona internetowa oparta na Drupal 7. Wyjątkowość tego zdarzenia, wynika z rzadkości jego występowania, gdyż na palcach jednej ręki można zliczyć zgłaszane do Robofix incydenty związane z nieuprawnionym przejęciem kontroli nad witryną opartą o w/w CMS. Po części wynika to z tego, że Drupal pomimo wysokiej, bo trzeciej pozycji w rankingu najczęściej stosowanych systemów zarządzania treścią, pod względem ilości stron www napędzanych jego silnikiem, nadal pozostaje daleko w tyle w stosunku do stron działających na Wordpress i Joomla. Z drugiej strony wspomniana niezawodność tego systemu, wynika niewątpliwie również z jego architektury oraz polityki stosowanej przez zespół do spraw bezpieczeństwa.

Jak więc doszło do sytuacji, że Drupal został zainfekowany wirusem? Przyczyna była taka sama, jak w zdecydowanej większości przypadków zawirusowania stron, opartych o jakiekolwiek systemy CMS, a mianowicie zaniechanie przeprowadzania aktualizacji. Ten przypadek jest szczególny jeszcze z jednego powodu, oprócz tego, że wirus zagnieździł się na Drupalowej stronce, to w dodatku nie była ona aktualizowana przez rekordowy czas, bo aż 8 lat! Ten serwis był dość popularny, więc to cud, że przez tyle czasu nic złego się nie wydarzyło.

Czas na relację z tego w jakim stanie była w/w witryna w momencie naszego pierwszego kontaktu, opis tego co zastaliśmy na serwerze oraz z przebiegu usuwania wirusa ze strony internetowej.

Zgłoszenie było wyjątkowo krótkie, oto jego fragment: "Nasza strona internetowa nie działa od kilku dni, zamiast strony pojawia się błąd, a hosting twierdzi, że prawdopodobnie był przeprowadzony jakiś atak hakerski, witryna jest zainfekowana, nie mogą zająć się usunięciem wirusa i nie biorą za to odpowiedzialności".

Przy próbie wywołania strony w przeglądarce, użytkowników faktycznie witał komunikat Fatal error, ze wskazaniem pliku skórki, który jest przyczyną błędu. Po analizie tego pliku okazało się, że doklejony został do niego złośliwy kod, który powodował zaburzenia w działaniu strony. W późniejszym czasie okazało się, że plików zmodyfikowanych, bądź wygenerowanych przez wirusa jest dużo więcej.

Standardowo strona została przeniesiona i uruchomiona w odizolowanym, specjalnie przygotowanym środowisku. Skanery antywirusowe wykryły, że w strukturze witryny znajduje się bardzo dużo plików zmodyfikowanych przez wirusa PHP/Kryptik.BL, bądź też nowych plików, umieszczonych na serwerze w wyniku działania złośliwego kodu.

W kolejnym kroku strona została poddana procesowi dokładnego oczyszczania z wirusa, a następnie przeszła przez ścieżkę aktualizacji rdzenia systemu oraz modułów systemu. Wszystkie 18 modułów wykorzystywanych przez witrynę wymagało aktualizacji, w tym łatki do 15 modułów były oflagowane jako "Security update". O ile aktualizacja samego rdzenia Drupala nie wywołała większych problemów w działaniu strony (przypominam, że skok między wersjami obejmował czas 8 lat), to odświeżenie części tak długo nie aktualizowanych modułów, spowodowało wystąpienie błędów, które unieruchomiły stronę. Wymusiło to konieczność dostosowania strony do aktualnych wersji modułów, co też zostało wykonane.

Na koniec na stronie zostały wykonane standardowe czynności wzmacniające bezpieczeństwo oraz zaimplementowane zostały dodatkowe zabezpieczenia, które pomogą uchronić ten serwis od podobnych zdarzeń.

Problem ze stroną www?

Odwirusowanie

Robak, wirus na celowniku, na stronie internetowej
Usuwanie szkodliwego oprogramowania ze strony internetowej opartej na CMS WordPress, Joomla!, Drupal i innych.

Migracja

Zielona strzałka (symbol przemieszczenia) na stronie internetowej
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.

Aktualizacja

Ruchomy trybik mechanizmu na stronie internetowej
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.

Backup

Dyskietka (symbol zapisu) na stronie internetowej
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.

Zabezpieczenie

Klucz do zamka (symbol zabezpieczenia) na stronie internetowej
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.

Tryb responsywny

Strona internetowa wyświetlona na ekranie monitora i smartfona
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.

Modyfikacje i naprawy

Skrzyżowane narzędzia (klucz oczkowy i ołówek) na stronie internetowej
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.

Helpdesk

Koło ratunkowe (symbol pomocy) na stronie internetowej
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.

Optymalizacja

Strona internetowa szybka jak rakieta!
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.

Odzyskiwanie haseł

Hasło zagwiazdkowane
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.

Projekt logo

Projekt logo dla strony internetowej
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.

Copyright © robofix.eu