Drupal 通过站点传递的有关潜在特洛伊木马的帮助

所以我很确定我的网站被某种特洛伊木马或病毒感染了，这些木马或病毒附着在网站内的脚本上。每次我尝试更新我基于Drupal的网站时，我都会看到一个白色的屏幕，上面有一条愚蠢的“我在这里”的消息。重新加载后，更改将生效，但我不知道保存更改后会发生什么。这仅在管理站点时弹出，即发布新内容、激活/停用模块等

问题是，我一点也不知道如何或在哪里移除这个。源代码没有引用任何恶意代码。这不是我在试图找到这个问题的答案时看到的iFrame-link类型的特洛伊木马

我尝试过的事情：

-对计算机进行多次病毒扫描，据说这些东西会攻击不安全的FTP数据并劫持您的客户端以上载恶意代码

-更改FTP凭据

-已将管理员用户密码更改为站点Drupal登录的后端

-更新的Drupal

---

到目前为止什么都没用，我想弄清楚这件事，真是束手无策。任何正确方向的提示都将不胜感激。

假设问题真的是Drupal，首先检查模块中是否有在表单提交过程中触发的代码。如果您具有shell访问权限，并且它是基于Unix/Linux/etc的服务器，请导航到Drupal目录并运行：

grep -r "i\'mhere" *

这将告诉您它是否存在于代码中，以及包含它的文件。如果它可能是一个模块，请禁用它，然后查看是否有更新或自己修改它

如果代码中没有，请检查数据库。创建数据库转储，然后运行：

cat databasedump.sql | grep "i\'mhere"

其中databasedump.sql是刚刚创建的数据库转储的名称。这至少可以让您大致了解数据存在于哪个表中。然后，您可以决定如何继续：从以前的备份恢复，删除有问题的数据，等等

如果两者都不在，可能是本地的。与其他人一起检查，看是否发生了这种情况

---

如果它不是本地的，你就有一些非常糟糕的事情，希望其他人对你可以检查的东西有其他想法

下面列出了一些可能有用的工具，可以帮助您减轻、减少或预防病毒感染：

bdcored chkrootkit clamd drwebd ipfw iptables kav lidsadm 
logcheck logwatch ninja nod32 ossec portsentry rkhunter
sav sawmill shieldcc snort sxid sysmask tcplodg tripwire
uvscan wormscan zmbscap

它直接来自一个臭名昭著的后门恶意软件，如上所述

您可能希望通过运行以下简单命令手动搜索病毒的其他实例：

[~]grep-rbase64_解码

正如Gothicparty.com上这篇关于老鼠感染的文章所建议的：

---

你可能想看看这个问题：这不是一个假阳性，所以我不认为这与我的问题有什么关系。我还升级到了6.17。你有没有扫描directores中的文本，听起来好像有一个带有调试文本的模块。我没有做大规模扫描，没有。做这件事最简单的方法是什么？马克-谢谢你的建议；非常感谢。我在旧数据库和现在的数据库之间来回切换，问题只出现在新数据库中。至少我已经记下来了。问题在于找出了这段代码。关于i'mhere消息的任何查询都不会弹出任何内容。不知怎么被蒙住了？有没有别的办法找到它？我真的不希望从零开始使用旧数据库；另外，我担心这个问题会再次出现。如果它被弄糊涂了，你会告诉我除了回滚之外，如何在前面进行操作：有无数种方法可以弄糊涂文本。如果可以的话，我至少会设置一个早期状态的站点镜像，看看是否是Drupal导致了这个问题。如果问题甚至发生在站点的早期状态，它可能至少会让您省去一些心痛：这表明问题不在于Drupal，而在于其他地方。如果这样做，您将需要同时恢复数据库和代码。使用数据库的早期备份不会忽略某些地方的模糊代码问题，也不确定它是否与Drupal有关。我一直在帮助许多网站管理员解决类似的问题。见我的详细答复。