Exploit qui vient d'être publié: https://www.drupal.org/sa-core-2018-002 --- Cœur Drupal - Hautement critique - Exécution de code à distance - SA-CORE-2018-002
- Comment savoir si quelqu'un a utilisé cet exploit pour pirater mon site?
- Que peuvent-ils faire avec cet exploit s'il est exécuté correctement?
- Je ne peux pas mettre à jour mes sites Drupal maintenant, quelle est une bonne alternative pour réparer facilement ce trou?
security
version-control
Patoshi パ ト シ
la source
la source
To our knowledge the issue is not currently being exploited.
les chances sont les plus basses.Réponses:
Qu'est-ce qui pourrait arriver
J'ai eu un site Drupal personnel piraté pendant Drupalgeddon, un exploit de gravité similaire (bien que d'un type différent). En termes de "ce qui pourrait arriver", dans ce cas, le pirate a mis plusieurs fichiers "de porte dérobée" dans ma base de code (je connaissais très peu de développement à l'époque, et je n'avais pas de référentiel Git), à partir duquel il pouvait envoyer des spams . Le domaine impliqué a été mis sur liste noire dans les filtres anti-spam, et c'était un énorme gâchis de pouvoir envoyer des e-mails depuis ce domaine pendant plusieurs mois après l'avoir conservé.
Étant donné que cette vulnérabilité permet l'exécution de code à distance, l'attaquant pourrait vraisemblablement installer des modules pour exécuter des attaques de phishing, exécuter des commandes sur la ligne de commande avec php exec (), voler des mots de passe et ainsi compromettre une grande partie de votre serveur. Les dommages peuvent aller de quelque chose d'aussi simple que le recrutement de votre machine en tant que moteur de spam ou nœud de botnet, ou si vous avez des informations sensibles, l'attaquant peut les voler et les revendre ou vous faire chanter, selon les informations et les motivations de l'attaquant.
Comment savoir si vous avez été piraté
La plupart du temps, votre site ne sera pas dégradé. Lorsque deux groupes de script kiddies de 14 ans s'affrontent, vous pouvez voir un site défiguré avec des images de chèvre (NSFW), mais à moins que le pirate ait quelque chose contre vous personnellement, il ne le fera pas. Le but du pirate est soit l'argent, soit la capacité de commettre des délits avec l'ordinateur de quelqu'un d'autre.
Maintenant, avec cela à l'esprit, les choses courantes que vous verrez sont de nouveaux utilisateurs en cours de création (en particulier les utilisateurs administrateurs), et dans les journaux, vous pouvez voir une IP particulière envoyer un seul type de demande (anormale). Dans le cas Drupalgeddon, j'ai pu le comprendre en voyant les requêtes POST vers un fichier php dans mon journal d'accès.
Si vous ne pouvez pas corriger votre site tout de suite
Si vous ne pouvez pas corriger le site maintenant, je vous recommande de couper le serveur apache / nginx afin que personne ne puisse accéder à votre site. Ou, demandez au serveur de diriger tout le trafic vers une page HTML expliquant que vous êtes en panne pour maintenance, alias «mode de maintenance matérielle». Dans tous les cas, vous ne souhaitez pas permettre à un visiteur de tirer sur Drupal, jusqu'à ce que vous puissiez obtenir une mise à niveau ou un correctif.
Et en repensant à mon site piraté, rappelez-vous que les premières attaques Drupalgeddon ont commencé 7 heures après la sortie, et c'était sous la forme d'un script qui piratait automatiquement des milliers de sites. Bouge rapidement!
Si vous êtes piraté
J'espère que vous avez une sauvegarde, auquel cas le meilleur pari est de "neutraliser tout le site depuis l'orbite" et de recommencer avec un nouveau serveur. J'ai effectué une vérification manuelle de la base de données et des fichiers une fois parce que je n'avais pas Git et des sauvegardes régulières en place - cela prend très longtemps, mais si cela se produit, prenez une profonde respiration et apprenez Git et apprenez à configurer un environnement de sauvegarde approprié. Si vous avez une entreprise et son site client, dites-leur la vérité dès le départ. Vous les perdrez probablement, mais mieux vaut perdre un client (vous pouvez en obtenir de nouveaux) que votre réputation.
la source
Comment savoir si quelqu'un a utilisé cet exploit pour pirater mon site?
Votre site Drupal 7 ou 8 peut subir une perte ou un vol de données, les données peuvent être supprimées, supprimées ou modifiées, causant des ravages sur le site de nombreuses manières différentes.
Consultez cet article Stack Exchange pour des informations générales sur la vérification pour voir si votre site Web a été piraté.
Que peuvent-ils faire avec cet exploit s'il est exécuté correctement?
L'exploit est une vulnérabilité d'exécution de code à distance, ce qui signifie que toutes les données peuvent être affectées.
Cet exploit a reçu un score de risque de 21/25, ce qui est presque le plus élevé qu'il obtient. Ce score de risque définit également les vulnérabilités suivantes, entre autres:
En savoir plus sur la notation des risques et les définitions ici .
Je ne peux pas mettre à jour mes sites Drupal maintenant, quelle est une bonne alternative pour réparer facilement ce trou?
Un correctif est disponible si vous ne pouvez pas mettre à jour le noyau immédiatement. De Drupal.org:
Pour en savoir plus, voici une FAQ sur l'exploit
la source
Comment patcher Drupal 7.x à la main contre le noyau Drupal - Très critique - Exécution de code à distance - SA-CORE-2018-00
Si vous utilisez Drupal 7.x et que vous ne pouvez pas mettre à jour votre site en ligne vers la version 7.58, que vous n'êtes pas familier avec l'application de correctifs ou que vous utilisez une version Drupal pour laquelle le correctif échoue, procédez comme suit:
1> Téléchargez et extrayez Drupal 7.58.
2> Copiez le fichier /includes/request-sanitizer.inc de la distribution 7.58 dans le répertoire / includes de votre site Web (le plus simple via FTP ou le gestionnaire de fichiers de votre panneau de contrôle d'hébergement).
3> Modifiez la version de /includes/bootstrap.inc sur votre site Web en direct (sauvegardez d'abord!). Recherchez la fonction _drupal_bootstrap_configuration (). Ajoutez les 3 lignes suivantes après l'instruction drupal_settings_initialize (); :
Sauvegarder.
Se détendre.
la source
Voici un processus 1-2-3 simple ici:
Si vous n'avez pas d'accès SSH ou terminal. Vous devrez le faire manuellement à la main en utilisant la solution @elb de l'utilisateur.
la source