黑客利用Drupal漏洞注入加密货币

Drupal漏洞（CVE-2018-7600）被称为Drupalgeddon2，可让攻击者完全接管易受攻击的网站，目前已被野生利用，以提供恶意软件后门和加密货币矿工。

然而，就在Check Point和Dofinity的安全研究人员发布完整细节的一天后，Drupalgeddon2概念验证（PoC）攻击代码被广泛使用，大规模互联网扫描和攻击尝试随之而来。
当时，没有报告目标遭到黑客攻击的事件，但在周末，几家安全公司注意到，攻击者现在已经开始利用该漏洞在易受攻击的网站上安装加密货币miner和其他恶意软件。

SANS Internet Storm Center发现了一些攻击，这些攻击提供了一个加密货币矿工、一个PHP后门和一个用Perl编写的IRC机器人。
简单的PHP后门允许攻击者将其他文件（后门）上传到目标服务器。

SANS ISC Infosec论坛上的一条帖子还表明，Drupalgeddon2正被用于在易受攻击的网站上安装XMRig Monero miner。除了实际的XMRig矿工，恶意脚本还下载其他文件，包括杀死目标系统上竞争矿工的脚本。

安全公司Volexity的研究人员还观察到，通过公开攻击Drupalgeddon2，试图发送恶意脚本，在易受攻击的网站上安装后门和加密货币矿工，从而尝试了各种各样的行动和有效载荷。
Volexity发现，该集团的一些钱包总共储存了544.74 XMR（Monero硬币），相当于近105567美元。

正如我们在前一篇文章中所报道的，Imperva统计数据显示，90%的Drupalgeddon2攻击只是为了寻找易受攻击的系统而进行的IP扫描，3%是试图进行后门感染，2%试图在目标上运行加密矿工。

对于那些不知道的人，Drupalgeddon2允许未经验证的远程攻击者以用户权限在默认或常见Drupal安装上执行恶意代码，从而影响Drupal 6到8的所有版本。

因此，强烈建议站点管理员尽快将其CMS更新为Drupal 7.58或Drupal 8.5.1，以解决此问题。

Drupal在其公告中警告称，“2018年4月11日星期三之前未修补的网站可能会被破坏”，“简单地更新Drupal不会删除后门或修复受损网站”

此外

“如果你发现你的网站已经打了补丁，但你没有打，这可能是该网站受损的一种症状。过去的一些攻击将补丁应用于确保只有该攻击者才能控制该网站”。

如果你的网站被黑客攻击，Drupal团队建议遵循以下指南。