Korábban vírusos Drupal oldal helyreállítása után érkező 404-es hiba

tiburi képe

Sziasztok,

volt egy nagyon régi drupal oldal ami fertőzőtt volt, tele volt a könyvtárállomány injektált php-kkal stb. A rendszert újra építettem új enginen, minden ok is vele, viszont fura 404-es hibasor jelentkezik az error logban.

Rengeteg nem található oldalbetöltést generál anonym valami kivülről:

page not found 2019/jan/11 - 10:08 /czM2NjIz Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czMwNzUyMg Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czExODgx Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czI1Nzcx Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czE4ODEyMw Névtelen (nem ellenőrzött)
page not found 2019/jan/11 - 10:07 /czMyMzQxOA Névtelen (nem ellenőrzött)

Ezek a krixkrax linkek lehet hogy éltek korábban a fenese nézte, minden esetre zavaró hogy ezzel van tele a log. Semmi sem indokol ilyesmit és okkal gondolom hogy köze van a korábbi oldal hibájának...

Jól gondolom egyáltalán?
Milyen tippetek van ennek kezelésére?

Köszönöm.

Drupal verzió: 
SecMan képe

Nem vagyok expert, szerintem:
biztos, hogy a korábbi fertőzéshez kapcsolódó jelenség, pl. ezeket az url-eket meghívva futnak le az injektált php kódok.

Esetleg tárhely részéről megnézni milyen IP-ről jönnek a kérések és azt tiltani?

0
0
Joee képe

Azok a felhasználók biztosan nem valósak és nagyon valószínű, hogy a vírushoz van közük. Én eltávolítanám ezeket a felhasználókat. Az könnyen megnézhető, hogy a tevékenységük milyen IP címre mutat. Biztosan külföldire. A vírust ugyan kiirtottad, de a víruskereső a random létrehozott felhasználókat nem tudja vírusnak ítélni. Ezek a felhasználók létrehozhattak valamilyen tartalmat, ami külső hivatkozásokra mutatnak. Ezek a hivatkozások jobb esetben már nem léteznek (404-oldal) és ez a te szerencséd, különben újra megkapnád a vírusokat. A felhasználóidat vizsgáld át és a nem kívánatosakat vagy gyanúsakat töröld a létrehozott tartalmaikkal együtt! Egy jó ideig még utána is kísérd figyelemmel a felhasználóid által indított sikeres vagy sikertelen külső kéréseket! Egyáltalán szükséged van ezek engedélyezésére?
A rendszered újraépítése mit is takar konkrétan? Teljen lecserélted a rendszer állományait újakra vagy csak lefuttattál egy víruskeresést és utána a maradtakat felülírtad egy új verzióval? Van olyan, hogy a víruskereső nem talál meg minden kódot. Általában nem. Szemmel kell belenézni a rendszerfájlokba és vírusszekvenciák után kutatni és találat esetén azt kézzel eltávolítani. Főleg a php fájlokat kell vizsgálni. Ahol túl sok gyanús és ismeretlen karakterhalmazt találsz az nagy valószínűséggel vírus, de ha nem tudod magad eldönteni akkor mutasd meg valakinek aki fel tudja ismerni. Némely szekvenciagyanús kódra az interneten is rá lehet keresni, mert biztosan nem te vagy az egyedüli aki kapott belőle és ők már feltölthették. Ha találtál egy szekvenciát akkor arra vagy annak részletére már futtathatsz keresést a rendszerben.

0
0
tiburi képe

Köszi a választ,

az van hogy ez egy teljesen új oldal, új szerveren, felhasználók nélkül. Csak a domain a régi. A content migrálás sem migrate modullal történt, hanem közvetlenül előre belőtt sql beállításokkal (title, body, img) szinten. Rossz dolgok nem jöhettek át.
Ezek a fura lekérések azonban azóta is permanensek.

Megnéztem az IP-ket és meglepetésemre a lekérést a Microsoft bingbot végzi a 157.55.39.139, és a 157.55.39.103 IP-ről. Innentől kezdve ez még nagyobb rejtély. :/

Persze lehet hogy ez is kamu cim, de az IP elemzők mind azt irják rá, hogy Microsoft bingbot.

0
0