Gehackte Drupal-site

Uit De Vliegende Brigade
Ga naar: navigatie, zoeken

Wat ik zoal wil weten/verifiëren tav. een mogelijk gehackte site:

  • Zijn er bestanden veranderd?
  • Spam-accounts?
  • PHP-bestanden die er niet horen te zijn?

Hacked-module

  • Precies wat ik in zo'n situatie zoek: Een module die controleerd of bestanden zijn aangepast of verdwenen
  • Zowel voor Drupal 6 als Drupal 7
  • drush en -y hacked
  • Menu: Reports » Hacked
  • Controleert niet op malafide php-bestanden: In een casus eind 2018, stonden dergelijke bestanden in sites/default/files/imagecache/cart en dat werd niet gedetecteert
Geinig voorbeeld: Hacked zegt dat er drie Drupal-core bestanden ontbreken. Na doorklikken blijken dit .gitignore, .htaccess en .editorconfig te zijn - Het kan goed kloppen dat ik die bestanden niet heb overgenomen. Merk op dat-ie ook alle modules en templates controleerd
Ander mooi voorbeeld van dezelfde Drupal-site: Ik heb dit theme handmatig aangepast, en dat ziet-ie. Heel goed!

Security Review-module

  • Voor Drupal 6 en Drupal 7
  • drush en -y security_review
  • Na installatie te bereiken via Reports » Security review
  • Bevalt goed!
  • Controleert niet op malafide php-bestanden: In een casus eind 2018, stonden dergelijke bestanden in sites/default/files/imagecache/cart en dat werd niet gedetecteert

Site Audit-module

  • "Detect common problems with Drupal"
  • drush en site_audit - Ik krijg vage foutmeldingen. Drush-loop?

Malafide php-bestanden opruimen

PHP-bestanden weergeven, vanuit de root van een installatie:

cd /sites/default/files
find -name *.php -type f

PHP-bestanden verwijderen, vanuit de root van een installatie:

cd /sites/default/files
find -name *.php -type f -delete

Ook handig: Nog een keer controleren of er op andere plekken verdachte php-bestanden staan. Dit is goed te doen, want het zijn geen honderden bestanden:

<vanuit de root>
find -name "*.php" -type f

Bronnen