Imperva研究人員告訴ZDNet，黑客已經(jīng)在過去幾天內(nèi)對(duì)Drupal網(wǎng)站所有者發(fā)起了一種新型攻擊。

通過這些最近的攻擊，黑客的目標(biāo)是在服務(wù)器上獲得立足點(diǎn)，提升他們對(duì)root帳戶的訪問權(quán)限，然后安裝合法的SSH客戶端，以便他們可以在以后的日期登錄被劫持的服務(wù)器。

為了實(shí)現(xiàn)他們的目標(biāo)，黑客一直在使用兩個(gè)著名的漏洞，其中一個(gè)在2016年發(fā)現(xiàn)。

攻擊是如何發(fā)生的

根據(jù)Imperva的說法，這次攻擊的第一步就是黑客大規(guī)模掃描互聯(lián)網(wǎng)，查找運(yùn)行過時(shí)版本的Drupal網(wǎng)站管理器(CMS)的網(wǎng)站，該版本未針對(duì)今年3月曝光的Drupalgeddon 2漏洞進(jìn)行修補(bǔ)。

當(dāng)他們發(fā)現(xiàn)其中一個(gè)易受攻擊的網(wǎng)站時(shí)，黑客會(huì)部署Drupalgeddon 2漏洞，以便在受感染的網(wǎng)站上獲得有限的立足點(diǎn)。

他們稍后使用此立足點(diǎn)搜索Drupal站點(diǎn)的本地配置文件以獲取數(shù)據(jù)庫憑據(jù)。

如果數(shù)據(jù)庫連接設(shè)置包含名為“root”的帳戶，則他們會(huì)嘗試該帳戶的服務(wù)器憑據(jù)憑據(jù)，以期獲得對(duì)站點(diǎn)底層服務(wù)器的root訪問權(quán)限。

但是，如果失敗，黑客會(huì)遷移部署名為Dirty COW的第二個(gè)漏洞，這是針對(duì)2016年發(fā)現(xiàn)的同名漏洞，該漏洞允許黑客將其訪問權(quán)限從有限的用戶帳戶提升為root訪問權(quán)限。

黑客經(jīng)歷了所有這些步驟，因?yàn)樗麄冃枰L問root帳戶才能在服務(wù)器上安裝合法的SSH守護(hù)程序，Imperva認(rèn)為他們需要連接到服務(wù)器并運(yùn)行其他操作。

已檢測(cè)到數(shù)十起攻擊事件

Imperva威脅分析經(jīng)理Nadav Avital今天早些時(shí)候接受采訪時(shí)告訴ZDNet，該公司的網(wǎng)絡(luò)防火墻已經(jīng)“保護(hù)了數(shù)十個(gè)網(wǎng)站免受感染”。

“由于所有的攻擊都被Imperva發(fā)現(xiàn)并阻擋，我們無法完全確定攻擊者的最終目標(biāo)，”Avital告訴我們。“話雖如此，在我們的一份最新報(bào)告中，我們發(fā)現(xiàn)近90%%的此類攻擊都試圖安裝加密挖掘惡意軟件。”

但是，除了Imperva阻止開采嘗試的“數(shù)十個(gè)”網(wǎng)站之外，這些攻擊的范圍可能要大得多。這是因?yàn)榇蠖鄶?shù)Web服務(wù)器已經(jīng)運(yùn)行了SSH守護(hù)程序，并且黑客不需要經(jīng)歷完整的開發(fā)方案。

考慮到這種攻擊依賴于利用兩個(gè)非常著名的漏洞，很久以前已經(jīng)提供了補(bǔ)丁，網(wǎng)站和服務(wù)器所有者可以通過更新Drupal及其Linux服務(wù)器輕松確保他們免受此類攻擊。

特別是Avital，警告要更新Drupal CMS，這些黑客入侵點(diǎn)。該研究人員表示，即使Drupalgeddon 2漏洞在六個(gè)月前曝光，Drupal網(wǎng)站仍然處于不斷的攻擊之下，隨著網(wǎng)站所有者更新其CMS，攻擊應(yīng)該會(huì)減少。不幸的是，事實(shí)并非如此。

“考慮到[...]，補(bǔ)丁的昏昏欲睡，漏洞的嚴(yán)重性以及許多黑客工具加入了這一攻擊的事實(shí)，導(dǎo)致了大量的攻擊，”Avital告訴ZDNet。“即使在今天，Drupalgeddon也是黑客們?cè)噲D使用的最受歡迎的攻擊媒介之一。”