Drupalgeddon под Helloween

02.11.2014

В этом году Helloween особенный, и реально недобрый. В моей стране каждый день люди умирают на войне, которая не объявлена. В моём родном городе сидит шайка бандитов, называющих себя "ополченцами", сегодня они выбирали себе главаря. И даже в информационных технологиях, к которым я имею отношение, в этом году произошло слишком много шокирующих вещей. Вначале был Heartbleed, который выдавал дамп памяти со случайными данными, куда вполне могли попасть логины/пароли. Потом обнаружилась грандиозная дыра в bash, который есть практически в каждой linux-системе. Теперь пришла очередь Drupalgeddon. Впору уверовать о вхождении планеты под какой-нибудь знак Марса.
 
Про эту уязвимость  я прочел как раз 15 октября, но, надо сказать, не очень встревожился. Да, конечно, в глаза бросилась строчка о присвоении ей статуса "Highly critical", но как-то по поводу своего сайта я не переживал - не того полёта птица. Думал, обновлю, как руки дойдут, чай за несколько дней не взломают.
 
Руки дошли 26 октября. Я штатным образом обновил ядро и несколько модулей. Отметил, что свежая версия модуля ckeditor почему-то коряво отображает иконки в свежей же версии самого редактора. Пришлось вернуть старую версию редактора, разбираться в глубинных причинах было недосуг. Помогло. Больше никаких шероховатостей при обновлении не было.   
 
Когда я в четверг 30 октября прочитал это, стало понятно, что я недооценил уровень угрозы. И скорее всего, бэкдор уже сидит на сайте. Так и оказалось, ведь при обновлении я поленился просмотреть логи, хотя стоило бы, учитывая статус уязвимости. В этот раз просмотрел и нашёл. Действительно, была sql-инъекция в результате которой злоумышленники получили доступ к базе данных. Что интересно, воспользовались они им уже 19 октября, в результате создали пользователя drupaldev с несуществующей 1000-й ролью, у которой не было никаких прав. Видимо, это действительно была автоматическая атака либо злоумышленников мой сайт не впечатлил, поскольку иных изменений я не обнаружил. Подозреваю, потому, что список пользователей в таблице users был слишком мал, чтобы заинтересовать спамеров.

Собственно, вот:

Мне было просто спасти сайт, поскольку в связи с крутыми изменениями в жизни в последнее время, мне было не до него и ничего нового тут не появлялось. А регулярные копии я всё-таки делаю и мне вполне подошла версия от конца августа. Для тех же, кто не проявил должной расторопности, но сайт их живёт активной жизнью, новость от 30 октября оказалась ушатом холодной воды. Ведь часто держат архивы за последнюю неделю, перекрывая старые последующими, а тут прошло две недели. Им, как я полагаю, придётся вытаскивать материалы из зараженной базы и подтягивать их в чистую.

Так что как это ни банально, но будьте бдительны!



Комментарии

Webecom
10.11.2014

Здравствуйте, ув. Kwoqer. Рад был увидеть Вашу статью. Мы с Вами знакомы по ряду форумов...
Недавно поставил блог себе на Drupal. Как раз в канун начала уязвимости... Но поскольку я в нем не силен, то и отследить заражение не могу. Скажите, пожалуйста на какие симптомы обращать внимание? За ранее благодарен.

kwoqer
19.11.2014

Здравствуйте. Простите, что не отвечал, нынче совсем нет времени на сайт - только сейчас увидел ваш вопрос. Основной признак, отличающий этот бэкдор - создание нового пользователя, отличающегося "как бы"  системностью. Вроде моего случая - "drupaldev". У многих этот пользователь заводился с админской ролью, в моем случае роли не было вовсе, что явно указывало на то что в базу именно "вломились". Вообще, вот тут об этом бэкдоре расписали все.

17.06.2015

Спасибо за ответ, извините, что и сам так поздно отвечаю, нынче тоже туго со временем. Пришлось снести в итоге тогда Drupal, зверь действительно был, а ввиду того, что я так долго все настраивал и толком даже не успел поюзать данную CMS, то я плюнул на это дело, одного дня скрупулезных настроек хватило, что бы отбить желание работать с Друпалом...

Добавить комментарий