МАССОВЫЙ ВЗЛОМ САЙТОВ НА DRUPAL (SA-CORE-2018-002)
Команда TimewebВремя чтения - 4 минуты.
Сегодня специалисты из CheckPoint опубликовали рабочий эксплойт для недавно обнаруженной уязвимости Drupal (SA-CORE-2018-002). Хакеры не заставили себя долго ждать и уже начали атаковать сайты. Пример атаки:
Если ваш сайт работает не на самой последней версии Drupal, рекомендуем срочно обновить CMS. Если обновить по какой-то причине вы не можете, добавьте следующие строки в начало .htaccess файла:
RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]
Но обращаем внимание, что это временное решение для блокировки атаки.
Проверить, атаковали ли ваш сайт, можно по логам веб-сервера (access_log файл). Поищите в нем строку account/mail/%23value или account/mail/#value. Если найдете - значит атака уже случилась.
В результате атаки на сайт загружается php-бэкдор, которым хакерские боты в последствии будут выполнять различные несанкционированные операции (внедрять вредоносные фрагменты кода в php скрипты, запускать майнеры криптовалюты, загружать веб-шеллы и спам-рассыльщики, инжектировать данные в БД, и пр).
Если вас уже атаковали, обязательно проверьте файлы сайта сканером AI-BOLIT.
Если вам нужна помощь с лечением сайта — пожалуйста, обратитесь в Службу поддержки Timeweb из Панели управления вашим аккаунтом.