Gehackte Drupal-site

Wat ik zoal wil weten/verifiëren tav. een mogelijk gehackte site:

• Zijn er bestanden veranderd?
• Spam-accounts?
• PHP-bestanden die er niet horen te zijn?

Hacked-module

• Precies wat ik in zo'n situatie zoek: Een module die controleerd of bestanden zijn aangepast of verdwenen
• Zowel voor Drupal 6 als Drupal 7
• drush en -y hacked
• Menu: Reports » Hacked
• Controleert niet op malafide php-bestanden: In een casus eind 2018, stonden dergelijke bestanden in sites/default/files/imagecache/cart en dat werd niet gedetecteert

Geinig voorbeeld: Hacked zegt dat er drie Drupal-core bestanden ontbreken. Na doorklikken blijken dit .gitignore, .htaccess en .editorconfig te zijn - Het kan goed kloppen dat ik die bestanden niet heb overgenomen. Merk op dat-ie ook alle modules en templates controleerd

Ander mooi voorbeeld van dezelfde Drupal-site: Ik heb dit theme handmatig aangepast, en dat ziet-ie. Heel goed!

Security Review-module

• Voor Drupal 6 en Drupal 7
• drush en -y security_review
• Na installatie te bereiken via Reports » Security review
• Bevalt goed!
• Controleert niet op malafide php-bestanden: In een casus eind 2018, stonden dergelijke bestanden in sites/default/files/imagecache/cart en dat werd niet gedetecteert

Site Audit-module

• "Detect common problems with Drupal"
• drush en site_audit - Ik krijg vage foutmeldingen. Drush-loop?

Malafide php-bestanden opruimen

PHP-bestanden weergeven, vanuit de root van een installatie:

cd /sites/default/files
find -name *.php -type f

PHP-bestanden verwijderen, vanuit de root van een installatie:

cd /sites/default/files
find -name *.php -type f -delete

Ook handig: Nog een keer controleren of er op andere plekken verdachte php-bestanden staan. Dit is goed te doen, want het zijn geen honderden bestanden:

<vanuit de root>
find -name "*.php" -type f

Bronnen

• https://sucuri.net/guides/how-to-clean-hacked-drupal