Neler olabilir
Drupalgeddon sırasında benzer şiddetten yararlanan kişisel bir Drupal sitem vardı (farklı türden olsa da). "Ne olabilir" açısından, bu durumda bilgisayar korsanı kod tabanıma birkaç "arka kapı" dosyası koydu (o zaman geliştirme hakkında çok az şey biliyordum ve Git deposu yoktu), bu da spam e-posta gönderebiliyordu . İlgili alan spam filtrelerinde kara listeye alındı ve daha sonra sakladığım birkaç ay boyunca bu alan adından e-posta gönderebilmek çok büyük bir karışıklıktı.
Bu güvenlik açığı uzaktan kod yürütülmesine izin verdiğinden, saldırgan kimlik avı saldırıları gerçekleştirmek, php exec () ile komut satırında komutlar yürütmek, parolaları çalmak ve böylece sunucunuzun çoğunu tehlikeye atmak için modüller yükleyebilir. Hasar, makinenizin spam motoru veya botnet düğümü olarak alınması kadar basit bir şey olabilir veya hassas bilgileriniz varsa, saldırgan bilgiye ve saldırganın motiflerine bağlı olarak onu çalabilir ve size satabilir veya şantaj yapabilir.
Saldırıya uğradığınızı nasıl anlarsınız
Çoğu zaman, siteniz tahrif edilmeyecektir. 14 yaşındaki senaryo çocuklarının iki grubu birbirlerine gittiğinde, Goatse görüntüleri (NSFW) ile tahrif edilmiş bir site görebilirsiniz, ancak bilgisayar korsanının size karşı bir şeyi olmadığı sürece bunu yapmayacaktır. Bilgisayar korsanının amacı ya paradır ya da başka birinin bilgisayarıyla suç işlemek.
Şimdi bunu göz önünde bulundurarak, göreceğiniz yaygın şeyler yeni kullanıcılar oluşturuluyor (özellikle yönetici kullanıcılar) ve günlüklerde belirli bir IP'nin yalnızca bir tür (anormal) istek gönderdiğini görebilirsiniz. Drupalgeddon davasında, erişim günlüğümde bir php dosyasına POST isteklerini görerek anlayabildim.
Sitenizi hemen yamyamıyorsanız
Siteyi şimdi yamalayamıyorsanız, kimse sitenize ulaşamayacak şekilde apache / nginx sunucusunu kesmenizi tavsiye ederim. Ya da sunucunun, tüm trafiği bakım için kapalı olduğunuzu açıklayan bir HTML sayfasına yönlendirmesini sağlayın, "sabit bakım modu". Her durumda, bir yükseltme veya düzeltme eki alana kadar bir ziyaretçinin Drupal önyüklemesinde herhangi bir çekim yapmasına izin vermek istemezsiniz.
Siteme saldırıya uğradığını düşündüğümde, ilk Drupalgeddon saldırılarının yayınlandıktan 7 saat sonra başladığını ve binlerce siteyi otomatik olarak hackleyen bir komut dosyası biçiminde olduğunu unutmayın. Hızlı hareket et!
Saldırıya uğradıysanız
Umarım bir yedeğiniz vardır, bu durumda en iyi bahis "tüm siteyi yörüngeden çekip çıkarmak" ve yeni bir sunucuyla başlamaktır. Bir kez manuel DB ve dosya denetimi yaptım çünkü Git ve düzenli yedeklemeler yoktu - çok uzun zaman alıyor, ancak gerçekleşirse, derin bir nefes alın ve Git'i öğrenin ve bir uygun yedekleme ortamı. Eğer bir iş ve onun bir müşteri sitesi varsa, onlara ön gerçeği söyle. Muhtemelen onları kaybedersiniz, ancak bir müşteri kaybetmek (yenilerini alabilirsiniz) itibarınızdan daha iyidir.