Sziasztok!
Az alábbi kérdésben szeretném a segítségeteket / véleményeteket / ötleteteket / RTFM stb. kérni:
Adott egy fizetős tárhelyszolgáltatónál egy nonprofit alapítványi weboldal drupal alapokon. Az oldalt többször érték spam támadások, azonban a mai napon a szolgáltató biztosnági okokra hivatkozva törölte...Előre is elnézést kérek, hosszúra sikerült...
- (jelenleg) Drupal 6.6 -os motor és az alábbi modulok:
- backup_migrate
- bbcode
- dhtml_menu
- google_analytics
- i18n
- image
- img_assist
- lightbox2
- Az oldalt 6.1-es drupal-al hoztam először létre, majd folyamatosan (max 2-3 hét késéssel) frissítem mindig az aktuális bugfix drupal kiadásra (modulokat is).
- Sehol nem nyúltam a drupal és a modulok forrásába, minden "gyári"; egyedül a téma css-ét és template-jét szerkesztettem szükségszerűen (lightfantastic)
- Az egyetlen egy változtatás, amit forrás szinten eszközölni kellett az oldal működő képessé tételéhez a hosting szolgáltatónál az a .htaccess fileban történt (pastebin.com). A változtatás lényege, hogy ki kellett commentelnem a FilesMatch, -Indexes, +FollowSymliks, Error Document, Directory Index és php_value* sorokat, mert ha egyetlen egyet is bent hagytam az oldal semmilyen formában nem jelent meg.
A probléma:
Körül belül 3 hónapja kezdődtek a gondjaink (kb drupal 6.3 körül), amikor is a statikus HTML-oldalak végére valamilyen furmányos módon spam (kínai viagra stb.) került. gyk hozzáfűztek a .html fájlokhoz jó néhány sort (a weboldalról be voltak linkelve). Ekkor Frissítettem minden komponenst, lecseréltem minden jelszót újra, ellenőriztem a fáj permissionokat (mindent 644 és 755-re állítottam). Ez kb 5 napig volt elég, a spam visszatért.
December környékén már az index.php végére is sikeresen spam-et raktak, ekkor kikapcsoltam minden extra modult, a hiba mégis fennállt. Végrehajtottam egy teljesen tiszta újratelepítést - minden file-t töröltem, jelszavakat megváltoztattam (az eredeti forrástól eltérő file-t nem találtam, adatbázist nem töröltem). Átneveztem az xmlrpc.php-t és a cron.php-t. Ekkor már már úgy tűnt megvan a hiba forrása, azonban 3 héttel ezelőtt újra felfedeztem a spam-et a statikus html-oldalak végén.
A google semmilyen kulcsszó kombinációra nem dobott értékelhető eredményt. A drupal.org-ot kb 1 hétig nyálaztam, még csak hasonló bureportra sem akadtam...
Ma reggel pedig az oldal 404-el tért vissza, a szolgáltató pedig az alábbi e-mailel válaszolt:
Tisztelt X Y!
Az Önök tulajdonában lévő xxxxxx.hu weboldalon keresztül, a héten sajnos másodjára is behatoltak szerverünkre maradandó károkat okozva több ügyfelünk adataiban.
Az ingyenes cms rendszerek hátránya, hogy adott hibát feltárva folyamatosan mindenhol kihasználva ezt szervereket tesznek tönkre.
Az Önök tevékenysége nagyon fontos és elismert világszerte és egyes csoportok akár csak szórakozásból is úgy próbálnak hírnévre szert tenni , hogy feltörik , károsítják, törlik.
Ennek következtében sajnos weboldalukat le kellett tiltanunk néhány órával ezelőtt.
[...]
hosszútávú megoldás egy nem cms rendszer, hanem egy egyedi programozású weboldal, ott ilyen problémák nem merülhetnek fel.
Sajnos a rendszergazda által javasolt "egyedi programozású" weboldalra sem időnk és sem energiánk/pénzünk nincs, szívesebben fordítjuk szűkös erőforrásainkat az alapítvány tényleges működésére.
Az oldal egyetlen célja az információ közzététel esztétikus formában. Azért választottam a drupal CMS-t mert egyszerű letisztult és igen elterjedt, több nagyforgalmú weboldal (hup.hu:) is zökkenőmentesen használja -- ezért nem is értem igazán a rendszergazda által javasoltakat.
A kérésem tehát az lenne, hogy segítsetek elindulni, hogy milyen irányban keressem a hiba forrását, mit kérjek a tárhely szolgáltatómtól, hogy az oldal biztonságosan üzemeljen?
Nagyon nem szeretnénk a statikus HTML oldalakhoz visszatérni :|
Köszönettel:
Dr. Bujdosó Sándor