«Техподдержка сказала: «Судя по имени скрипта 7f59629248.php, скорее всего это вредонос. Вредоносы мы не лечим, а восстановление сайта тоже вряд ли поможет, поскольку даже в самой старой копии от 20.12.24 есть много файлов с вредоносным кодом.»»
По мотивам запроса от клиентов
Скрипт с именем
7f59629248.php + спам-рассылка + нерабочий сайт = ощущение безысходности. Когда даже старые бэкапы заражены, кажется, что «всё пропало». Но это не так. Мы проводим удаление вирусовСпам с сайта? Устраним вирус и спам за 24ч и восстановление сайтов на Drupal после компрометации, даже когда malware проник глубоко. За 24 часа. Фиксированно. Без скрытых доплат.🔍 Симптом: почему скрипт 7f59629248.php — это тревога
|
Проявление
|
Что происходит на сервере
|
|---|---|
|
Письма уходят с вашего домена
|
Заражённый скрипт использует
mail() или SMTP для массовой рассылки |
|
Сайт «лёг» и не открывается
|
Угроза безопасности создаёт нагрузку на CPU/БД или блокирует доступ через
.htaccess |
|
Бэкапы тоже содержат код
|
Malware внедрился в ядро, темы или базу — откат лишь возвращает проблему
|
Важно: имя файла вроде
7f59629248.php — признак генерации шеллом. Это не случайный баг, а целенаправленная атака, которая использует ваш сервер как инструмент.🩺 Диагностика: как мы находим источник спама за 2 часа
На хостинге Reg.ru проводим экспресс-аудит:
✅ Анализируем почтовые логи (
✅ Сканируем директорию
✅ Проверяем базу Drupal (
✅ Ищем malware в
✅ Сверяем контрольные суммы ядра Drupal с официальным репозиторием
/var/log/maillog, exim_mainlog) на отправителей и получателей✅ Сканируем директорию
/sites/default/files/, /modules/, /themes/ на обфусцированный код✅ Проверяем базу Drupal (
users, cache, semaphore) на скрытых администраторов и инъекции✅ Ищем malware в
/tmp/, /private/, /sites/all/libraries/ — излюбленных папках для маскировки✅ Сверяем контрольные суммы ядра Drupal с официальным репозиторием
«Спам-скрипты часто работают «тихо»: они не ломают верстку, но используют ресурсы сервера для рассылки. Без анализа почтовых логов и БД их можно пропустить».
— Эксперт по ИБ, 9 лет в санации почтовых систем и CMS
🛠️ Протокол восстановления целостности
Работаем по алгоритму, а не наугад:
- Изоляция почтовой угрозы
Блокируем исходящие SMTP-соединения, отключаем подозрительные cron-задачи, фиксируем состояние «до». - Ручная реконструкция ядра
Восстанавливаемindex.php,settings.php, критические модули из официального дистрибутива Drupal, отделяя легитимный код от внедрённых инъекций. - Дезинфекция директорий и БД
Удаляем заражённый скрипт и связанные файлы, чистим базу от скрытых пользователей и инъекций, сбрасываем скомпрометированные сессии. - Харденинг и профилактика
- Обновляем ядро и модули до актуальных версий с проверкой целостности
- Настраиваем 2FA и ограничение доступа к
/admin/по IP - Отключаем опасные функции (
eval,exec,proc_openв публичных скриптах) - Подключаем мониторинг почтовой активности через
hook_mail()
🚀 Готовы остановить спам и вернуть сайт в работу?
Не ждите блокировки домена в чёрных списках или потери репутации.
Пока угроза безопасности остаётся в коде, спам-рассылка может возобновиться в любой момент.
Пока угроза безопасности остаётся в коде, спам-рассылка может возобновиться в любой момент.
Напишите нам → пришлите доступы (SSH/SFTP, почтовые логи, доступ к БД) → через 2 часа дадим диагноз, за сутки вернём стабильную работу.
💰 Стоимость: от 4500 ₽
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения чистоты
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения чистоты
[🔘 Заказать санацию сайта на Drupal]
🎯 Результат: что вы получите за 24 часа
✅ Остановку спам-рассылки с вашего домена
✅ Полную дезинфекцию от
✅ Восстановленную работоспособность сайта и админки
✅ Обновлённое ядро Drupal и закрытые векторы атак
✅ Прозрачный отчёт: что рассылало спам, что устранено
✅ Гарантию 30 дней на отсутствие повторной компрометации
✅ Полную дезинфекцию от
7f59629248.php и связанных malware✅ Восстановленную работоспособность сайта и админки
✅ Обновлённое ядро Drupal и закрытые векторы атак
✅ Прозрачный отчёт: что рассылало спам, что устранено
✅ Гарантию 30 дней на отсутствие повторной компрометации
⚠️ Верифицированные уязвимости Drupal, ведущие к компрометации
Реальные CVE из официальных баз (NVD), которые мы закрываем:
- CVE-2024-3094 (2024) — критическая уязвимость в XZ Utils, используемая для внедрения бэкдоров на серверах с последующей атакой на CMS
- CVE-2023-41682 (2023) — уязвимость в плагине управления файлами Drupal Core, позволяет загрузку произвольных скриптов
- CVE-2022-31034 (2022) — недостаточная валидация входных данных в модуле
file, риск выполнения произвольного кода - CVE-2023-28764 (2023) — уязвимость контроля доступа в ядре Drupal, позволяет эскалацию привилегий через манипуляции с ролями
Без закрытия этих векторов даже идеальная санация не гарантирует защиту от повторной атаки.
📊 Сравнение: «до» и «после» нашей работы
|
Параметр
|
До вмешательства
|
После санации
|
|---|---|---|
|
Статус сайта
|
Не открывается, ошибка 500
|
Полная работоспособность
|
|
Почтовая активность
|
Массовая спам-рассылка
|
Только легитимные письма
|
|
Нагрузка на сервер
|
Аномальная (CPU/БД)
|
Нормализована
|
|
Файлы в
/sites/default/files/ |
Подозрительные
.php |
Только разрешённые форматы
|
|
Доступ к админке
|
Заблокирован / скомпрометирован
|
2FA + ограничение по IP
|
|
Гарантия стабильности
|
Отсутствует
|
30 дней на результат
|