有人使用Drupalgeddon 2和Dirty COW漏洞来接管Web服务器

Imperva研究人员告诉ZDNet，黑客已经在过去几天内对Drupal网站所有者发起了一种新型攻击。

通过这些最近的攻击，黑客的目标是在服务器上获得立足点，提升他们对root帐户的访问权限，然后安装合法的SSH客户端，以便他们可以在以后的日期登录被劫持的服务器。

为了实现他们的目标，黑客一直在使用两个着名的漏洞，其中一个在2016年发现。

攻击是如何发生的

根据Imperva的说法，这次攻击的第一步就是黑客大规模扫描互联网，查找运行过时版本的Drupal网站管理器(CMS)的网站，该版本未针对今年3月曝光的Drupalgeddon 2漏洞进行修补。

当他们发现其中一个易受攻击的网站时，黑客会部署Drupalgeddon 2漏洞，以便在受感染的网站上获得有限的立足点。

他们稍后使用此立足点搜索Drupal站点的本地配置文件以获取数据库凭据。

如果数据库连接设置包含名为“root”的帐户，则他们会尝试该帐户的服务器凭据凭据，以期获得对站点底层服务器的root访问权限。

但是，如果失败，黑客会迁移部署名为Dirty COW的第二个漏洞，这是针对2016年发现的同名漏洞，该漏洞允许黑客将其访问权限从有限的用户帐户提升为root访问权限。

黑客经历了所有这些步骤，因为他们需要访问root帐户才能在服务器上安装合法的SSH守护程序，Imperva认为他们需要连接到服务器并运行其他操作。

已检测到数十起攻击事件

Imperva威胁分析经理Nadav Avital今天早些时候接受采访时告诉ZDNet，该公司的网络防火墙已经“保护了数十个网站免受感染”。

“由于所有的攻击都被Imperva发现并阻挡，我们无法完全确定攻击者的最终目标，”Avital告诉我们。“话虽如此，在我们的一份最新报告中，我们发现近90%%的此类攻击都试图安装加密挖掘恶意软件。”

但是，除了Imperva阻止开采尝试的“数十个”网站之外，这些攻击的范围可能要大得多。这是因为大多数Web服务器已经运行了SSH守护程序，并且黑客不需要经历完整的开发方案。

考虑到这种攻击依赖于利用两个非常着名的漏洞，很久以前已经提供了补丁，网站和服务器所有者可以通过更新Drupal及其Linux服务器轻松确保他们免受此类攻击。

特别是Avital，警告要更新Drupal CMS，这些黑客入侵点。该研究人员表示，即使Drupalgeddon 2漏洞在六个月前曝光，Drupal网站仍然处于不断的攻击之下，随着网站所有者更新其CMS，攻击应该会减少。不幸的是，事实并非如此。

“考虑到[...]，补丁的昏昏欲睡，漏洞的严重性以及许多黑客工具加入了这一攻击的事实，导致了大量的攻击，”Avital告诉ZDNet。“即使在今天，Drupalgeddon也是黑客们试图使用的最受欢迎的攻击媒介之一。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！