14 Апреля, 2018

Массовый взлом сайтов на Drupal (SA-CORE-2018-002)

revisium
Вчера специалисты из CheckPoint опубликовали рабочий эксплойт для недавно обнаруженной уязвимости Drupal (SA-CORE-2018-002). Хакеры не заставили себя долго ждать и уже начали атаковать сайты. Пример атаки:




Если ваш сайт работает не на самой последней версии Drupal, рекомендуем срочно обновить CMS (хотя, возможно, что уже поздно). Если обновить по какой-то причине вы не можете, добавьте следующие строки в начало .htaccess файла



RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]

Но обращаем внимание, что это временное решение для блокировки атаки.
Проверить, атаковали ли ваш сайт, можно по логам веб-сервера (access_log файл). Поищите в нем строку account/mail/%23value или account/mail/#value. Если найдете - значит атака уже случилась.
В результате атаки на сайт загружается php-бэкдор, которым хакерские боты в последствии будут выполнять различные несанкционированные операции (внедрять вредоносные фрагменты кода в php скрипты, запускать майнеры криптовалюты, загружать веб-шеллы и спам-рассыльщики, инжектировать данные в БД, и пр).


Если вас уже атаковали, обязательно проверьте файлы сайта сканером AI-BOLIT .


Если самостоятельно сделать это не получается, напишите нам .