Как найти на сайте вредоносный скрипт

Я иногда занимаюсь созданием бесплатных MFA-сайтов. MFA - это сокращение от Made for AdSense. Т.е. такие сайты сделанные чисто под размещение рекламы. Разумеется там размещается также полезная информация, иначе никто не будет такие сайты посещать. При наличии полезной информации есть некоторый приток посетителей из поисковых систем.

На одном из таких сайтов внезапно отключился домен. Я так и не смог получить от хостера вразумительного объяснения и создал новый сайт, который спустя некоторое время также отключился. На вопрос "почему?" хостер ответил, что на сайте есть вредоносный скрипт.


И тут я осознал обратную сторону использования CMS. Чтобы не заморачиваться с сайтом, я на базе CMS Drupal 6 создал универсальный сайт, а после его просто клонировал и наполнял соответствующей сайту информацией.

Вряд ли это была целенаправленная атака на бесплатный говносайт. Скорее всего была массовая атака и под замес попали в том числе и мои сайты. Самое интересное это то что я отключил на сайте регистрацию и комментарии. Т.е. ввод какого-либо опасного кода был практически исключен. Хотя может быть я не знаю чего-то. Может быть там уязвимые скрипты в самом ядре Drupal. Хрен его знает. Ну имейте ввиду короче говоря.

Основная задача после инцидента удалить вредоносный скрипт и обновить CMS.

Искать скрипт надо либо в файлах, либо в БД. С файлами проще, потому что можно скачать официальный дистрибутив соответствующей версии и провести сравнение файлов. Если вредоносный код был внедрен в контент, то тут уже сложнее, потому что контент не с чем сравнивать. Контент придется анализировать.

С обновлением тоже всё плохо. 24 февраля 2016 Drupal 6 официально умер и о нём больше не вспомнят. Последняя версия это Drupal 6.38.


У меня похоже, что сейчас стоит версия Drupal 6.22. На новые версии переехать не получится потому что я там задействовал модули, которые выше 6 версии не поддерживаются.

--