Korábbam virusos drupal oldal helyreállitása után érkező 404-es hiba

tiburi képe

Sziasztok,

volt egy nagyon régi drupal oldal ami ferzőzőtt volt, tele volt a könyvtárállomány injektált php-kkal stb. A rendszert újra épitettem új enginen, minden ok is vele, viszont fura 404-es hibasor jelentikezik az error logban.

Rengeteg nem található oldalbetöltést generál anonym valami kivülről:

page not found 2019/jan/11 - 10:08 /czM2NjIz Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czMwNzUyMg Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czExODgx Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czI1Nzcx Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czE4ODEyMw Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czMyMzQxOA Névtelen (nem ellenőrzött)

Ezek a krixkrax linkek lehet hogy éltek korábban a fenese nézte, minden esetre zavaró hogy ezzel van tele a log. Semmi sem indokol ilyesmit és okkal gondolom hogy köze van a korábbi oldal hibájának...

Jól gondolom egyáltalán?
Milyen tippetek van ennek kezelésére?

Köszönöm.

Drupal verzió: 
SecMan képe

Nem vagyok expert, szerintem:
biztos, hogy a korábbi fertőzéshez kapcsolódó jelenség, pl. ezeket az url-eket meghívva futnak le az injektált php kódok.

Esetleg tárhely részéről megnézni milyen IP-ről jönnek a kérések és azt tiltani?

0
0
Joee képe

Azok a felhasználók biztosan nem valósak és nagyon valószínű, hogy a vírushoz van közük. Én eltávolítanám ezeket a felhasználókat. Az könnyen megnézhető, hogy a tevékenységük milyen IP címre mutat. Biztosan külföldire. A vírust ugyan kiirtottad, de a víruskereső a random létrehozott felhasználókat nem tudja vírusnak ítélni. Ezek a felhasználók létrehozhattak valamilyen tartalmat, ami külső hivatkozásokra mutatnak. Ezek a hivatkozások jobb esetben már nem léteznek (404-oldal) és ez a te szerencséd, különben újra megkapnád a vírusokat. A felhasználóidat vizsgáld át és a nem kívánatosakat vagy gyanúsakat töröld a létrehozott tartalmaikkal együtt! Egy jó ideig még utána is kísérd figyelemmel a felhasználóid által indított sikeres vagy sikertelen külső kéréseket! Egyáltalán szükséged van ezek engedélyezésére?
A rendszered újraépítése mit is takar konkrétan? Teljen lecserélted a rendszer állományait újakra vagy csak lefuttattál egy víruskeresést és utána a maradtakat felülírtad egy új verzióval? Van olyan, hogy a víruskereső nem talál meg minden kódot. Általában nem. Szemmel kell belenézni a rendszerfájlokba és vírusszekvenciák után kutatni és találat esetén azt kézzel eltávolítani. Főleg a php fájlokat kell vizsgálni. Ahol túl sok gyanús és ismeretlen karakterhalmazt találsz az nagy valószínűséggel vírus, de ha nem tudod magad eldönteni akkor mutasd meg valakinek aki fel tudja ismerni. Némely szekvenciagyanús kódra az interneten is rá lehet keresni, mert biztosan nem te vagy az egyedüli aki kapott belőle és ők már feltölthették. Ha találtál egy szekvenciát akkor arra vagy annak részletére már futtathatsz keresést a rendszerben.

0
0