您现在的位置是:首页 >每日动态 > 2021-04-22 17:25:08 来源:

有人使用Drupalgeddon 2和Dirty COW漏洞来接管Web服务器

导读 Imperva研究人员告诉ZDNet,黑客已经在过去几天内对Drupal网站所有者发起了一种新型攻击。 通过这些最近的攻击,黑客的目标是在服务器上获

Imperva研究人员告诉ZDNet,黑客已经在过去几天内对Drupal网站所有者发起了一种新型攻击。

通过这些最近的攻击,黑客的目标是在服务器上获得立足点,提升他们对root帐户的访问权限,然后安装合法的SSH客户端,以便他们可以在以后的日期登录被劫持的服务器。

有人使用Drupalgeddon 2和Dirty COW漏洞来接管Web服务器

为了实现他们的目标,黑客一直在使用两个着名的漏洞,其中一个在2016年发现。

攻击是如何发生的

根据Imperva的说法,这次攻击的第一步就是黑客大规模扫描互联网,查找运行过时版本的Drupal网站管理器(CMS)的网站,该版本未针对今年3月曝光的Drupalgeddon 2漏洞进行修补。

当他们发现其中一个易受攻击的网站时,黑客会部署Drupalgeddon 2漏洞,以便在受感染的网站上获得有限的立足点。

他们稍后使用此立足点搜索Drupal站点的本地配置文件以获取数据库凭据。

如果数据库连接设置包含名为“root”的帐户,则他们会尝试该帐户的服务器凭据凭据,以期获得对站点底层服务器的root访问权限。

但是,如果失败,黑客会迁移部署名为Dirty COW的第二个漏洞,这是针对2016年发现的同名漏洞,该漏洞允许黑客将其访问权限从有限的用户帐户提升为root访问权限。

黑客经历了所有这些步骤,因为他们需要访问root帐户才能在服务器上安装合法的SSH守护程序,Imperva认为他们需要连接到服务器并运行其他操作。

已检测到数十起攻击事件

Imperva威胁分析经理Nadav Avital今天早些时候接受采访时告诉ZDNet,该公司的网络防火墙已经“保护了数十个网站免受感染”。

“由于所有的攻击都被Imperva发现并阻挡,我们无法完全确定攻击者的最终目标,”Avital告诉我们。“话虽如此,在我们的一份最新报告中,我们发现近90%%的此类攻击都试图安装加密挖掘恶意软件。”

但是,除了Imperva阻止开采尝试的“数十个”网站之外,这些攻击的范围可能要大得多。这是因为大多数Web服务器已经运行了SSH守护程序,并且黑客不需要经历完整的开发方案。

考虑到这种攻击依赖于利用两个非常着名的漏洞,很久以前已经提供了补丁,网站和服务器所有者可以通过更新Drupal及其Linux服务器轻松确保他们免受此类攻击。

特别是Avital,警告要更新Drupal CMS,这些黑客入侵点。该研究人员表示,即使Drupalgeddon 2漏洞在六个月前曝光,Drupal网站仍然处于不断的攻击之下,随着网站所有者更新其CMS,攻击应该会减少。不幸的是,事实并非如此。

“考虑到[...],补丁的昏昏欲睡,漏洞的严重性以及许多黑客工具加入了这一攻击的事实,导致了大量的攻击,”Avital告诉ZDNet。“即使在今天,Drupalgeddon也是黑客们试图使用的最受欢迎的攻击媒介之一。”