Właśnie wydany exploit: https://www.drupal.org/sa-core-2018-002 --- Rdzeń Drupala - Wysoce krytyczny - Zdalne wykonanie kodu - SA-CORE-2018-002
- Skąd mam wiedzieć, czy ktoś wykorzystał ten exploit do włamania się na moją stronę?
- Co mogą zrobić z tym exploitem, jeśli zostaną poprawnie wykonane?
- Nie mogę teraz zaktualizować moich stron Drupal. Jaka jest dobra alternatywa dla łatwego załatania tej dziury?
security
version-control
Patoshi パ ト シ
źródło
źródło
To our knowledge the issue is not currently being exploited.
szanse są minimalne.Odpowiedzi:
Co może się zdarzyć
Miałem osobistą witrynę Drupala zhakowaną podczas Drupalgeddon, exploita o podobnym stopniu ważności (choć innego rodzaju). Jeśli chodzi o „to, co może się zdarzyć”, w takim przypadku haker umieścił kilka plików „tylnych drzwi” w mojej bazie kodu (wtedy bardzo mało wiedziałem o programowaniu i nie miałem repozytorium Git), z których mógł wysyłać spam . Domena, której to dotyczy, została umieszczona na czarnych listach w filtrach spamu, a przesyłanie wiadomości e-mail z tej domeny było ogromne, ponieważ przez kilka miesięcy zachowywałem ją później.
Ponieważ ta luka umożliwia zdalne wykonanie kodu, osoba atakująca może przypuszczalnie zainstalować moduły w celu przeprowadzania ataków phishingowych, wykonywania poleceń w wierszu poleceń za pomocą php exec (), kradzieży haseł, a tym samym narażania dużej części serwera. Szkody mogą obejmować coś tak prostego, jak rekrutacja maszyny jako silnika spamowego lub węzła botnetu, lub jeśli masz poufne informacje, atakujący może je ukraść i odsprzedać lub szantażować, w zależności od informacji i motywów atakującego.
Jak stwierdzić, czy zostałeś zhakowany
W większości przypadków Twoja witryna nie zostanie zniszczona. Kiedy dwie grupy 14-letnich dzieciaków ze skryptów zbliżają się do siebie, możesz zobaczyć stronę ze zdjęciami kozimi (NSFW), ale chyba, że haker ma coś przeciwko tobie osobiście, nie zrobi tego. Celem hakera są pieniądze lub umiejętność popełniania przestępstw przy użyciu komputera innej osoby.
Mając to na uwadze, typowymi rzeczami, które zobaczysz, są tworzeni nowi użytkownicy (szczególnie użytkownicy administracyjni), aw dziennikach możesz zobaczyć konkretny adres IP wysyłający tylko jeden rodzaj (nienormalnego) żądania. W przypadku Drupalgeddon mogłem to rozgryźć, widząc żądania POST dla pliku php w moim dzienniku dostępu.
Jeśli nie możesz od razu załatać swojej witryny
Jeśli nie możesz teraz załatać tej witryny, zaleciłbym odcięcie serwera apache / nginx, aby nikt nie mógł dostać się do twojej witryny. Lub pozwól serwerowi przekierować cały ruch na stronę HTML z informacją, że nie masz możliwości konserwacji, czyli „trybu trudnej konserwacji”. We wszystkich przypadkach nie chcesz, aby odwiedzający mógł strzelać do ładowania Drupala, dopóki nie uzyskasz aktualizacji lub poprawki.
Wracając do hakowania mojej witryny, pamiętajcie, że pierwsze ataki Drupalgeddon rozpoczęły się 7 godzin po wydaniu i miały postać skryptu, który automatycznie zhakował tysiące stron. Poruszać się szybko!
Jeśli zostałeś zhakowany
Mamy nadzieję, że masz kopię zapasową, w którym to przypadku najlepszym rozwiązaniem jest „nuke całej witryny z orbity” i zacząć od nowa z nowym serwerem. Raz wykonałem ręczną kontrolę bazy danych i plików, ponieważ nie miałem Git i regularnych kopii zapasowych - zajmuje to bardzo dużo czasu, ale jeśli tak się stanie, weź głęboki oddech i naucz się Gita i naucz się konfigurować odpowiednie środowisko tworzenia kopii zapasowych. Jeśli masz firmę i witrynę dla klientów, powiedz im z góry prawdę. Prawdopodobnie je stracisz, ale lepiej stracić klienta (możesz zdobyć nowych) niż swoją reputację.
źródło
Skąd mam wiedzieć, czy ktoś wykorzystał ten exploit do włamania się na moją stronę?
Twoja witryna Drupal 7 lub 8 może ulec utracie lub kradzieży, dane można usunąć, usunąć lub zmienić, siejąc spustoszenie na stronie na wiele różnych sposobów.
Zobacz ten artykuł dotyczący wymiany stosów, aby uzyskać ogólne informacje na temat sprawdzania, czy witryna została zaatakowana przez hakerów.
Co mogą zrobić z tym exploitem, jeśli zostaną poprawnie wykonane?
Exploit stanowi lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu, co oznacza, że może to mieć wpływ na dowolne dane.
Exploitowi nadano ocenę ryzyka 21/25, czyli prawie najwyższą z możliwych. Ten wynik ryzyka określa także następujące luki w zabezpieczeniach:
Przeczytaj więcej o punktacji ryzyka i definicjach tutaj .
Nie mogę teraz zaktualizować moich stron Drupal. Jaka jest dobra alternatywa dla łatwego załatania tej dziury?
Dostępna jest łatka, jeśli nie możesz od razu zaktualizować rdzenia. Od Drupal.org:
Aby przeczytać więcej, oto FAQ na temat exploita
źródło
Jak ręcznie załatać Drupal 7.x na rdzeń Drupala - Wysoce krytyczny - Zdalne wykonanie kodu - SA-CORE-2018-00
Jeśli korzystasz z Drupal 7.x i nie możesz zaktualizować swojej działającej witryny do wersji 7.58, nie znasz się na stosowaniu poprawek lub korzystasz z wersji Drupal, dla której łatka nie działa, wykonaj następujące czynności:
1> Pobierz i rozpakuj Drupal 7.58.
2> Skopiuj plik /include/request-sanitizer.inc z dystrybucji 7.58 do katalogu / include witryny (najłatwiej za pośrednictwem FTP lub menedżera plików panelu sterowania hosta).
3> Edytuj wersję pliku /include/bootstrap.inc na swojej stronie internetowej (najpierw wykonaj kopię zapasową!). Znajdź funkcję _drupal_bootstrap_configuration (). Dodaj następujące 3 wiersze po instrukcji drupal_settings_initialize (); :
Zapisać.
Zrelaksować się.
źródło
Oto prosty proces 1-2-3:
Jeśli nie masz dostępu do SSH lub terminala. Musisz to zrobić ręcznie ręcznie, korzystając z rozwiązania @elb użytkownika.
źródło