Форум Сайтостроение Безопасность

Drupal 6,7,8 - highly critical - remote code execution

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
1979

https://www.drupal.org/sa-core-2018-002

---------- Добавлено 29.03.2018 в 02:40 ----------

Если значение любого поля формы начать с решетки (#), можно загрузить шелл на сервер, вкратце.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#1

Интересно, тут только я вижу некий символизм и причастность русских хакеров разработчиков?

Ведь этот символ только у нас называется "решётка" и даёт прямой отсыл к слову "решето" ...

Здесь явно был какой-то злой умысел :)

Лог в помощь!
Game begins! (многобукф) РПЦ денег хочет? Продаю сайт в ЯК
Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#2

[umka], не стоит искать заговор там, где можно все объяснить простой человеческой глупостью. Нет фильтрации/санации данных пользователя, а команда #execute есть 😒

Mik Foxi
На сайте с 02.03.2011
Offline
1117
Mik Foxi
#3

10 лет чтоле уязвимость существовала? 0_о

Универсальный антибот, антиспам, веб файрвол, защита от накрутки поведенческих № 1 в рунете: https://antibot.cloud/
neoks
На сайте с 17.03.2010
Offline
152
neoks
#4

Оптимизайка, Как я понимаю даже форма поиска может выполнить код ?

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#5

neoks, любая форма

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#6
'[umka:
;15541841']Интересно, тут только я вижу некий символизм и причастность русских хакеров разработчиков?
Ведь этот символ только у нас называется "решётка" и даёт прямой отсыл к слову "решето" ...
Здесь явно был какой-то злой умысел :)

highly likely 🤪

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
R
На сайте с 27.12.2017
Offline
9
rdot
#7

хомяки, сплойт есть?

YDoron
На сайте с 25.10.2005
Offline
182
YDoron
#8

Идёт активное сканирование и регулярный взлом сайтов на друпал с этой уязвимостью.

Обязательно проверте свой сервер на наличие странных файлов в корневой папке сайта.

Также, посмотрите загрузку CPU своего сервера. Если есть постоянная равномерная загрузка, особенно ночью - вам засадили скрипт майнинга на сервер!

А ещё 25 апреля они ещё одну критическую уязвимость нашли:

https://www.drupal.org/sa-core-2018-004

Всю эту эпопею с заражением друпалов называют Drupageddon.

Вот тут очень хорошая статью о том, как вирус работает:

https://www.volexity.com/blog/2018/04/16/drupalgeddon-2-profiting-from-mass-exploitation/

настраиваю Linux сервера, правлю баги, пишу фичи под Wordpress и Laravel
«Играем в доктора»: неправильное Яндекс выпустил антивирус для Яндекс.Поиск о скрытых спам-ссылках
DR
На сайте с 22.08.2013
Offline
81
Dimitrius_R
#9

Уязвимость очень серьёзная - варианта исправления 2 - либо обновить ядро Drupal до последнего. Либо второй вариант настроить mod_secure на сервере и прописать одно из двух правил:

# SPECIFIC: Block #submit #validate #process #pre_render #post_render #element_validate #after_build #value_callback #process #access_callback #lazy_builder #type #markup #value #options parameters

SecRule &ARGS_NAMES|&FILES_NAMES|&REQUEST_COOKIES_NAMES "@gt 0" "phase:2,log,chain,id:3298,t:none,block"

SecRule ARGS_NAMES|ARGS_GET|FILES_NAMES|REQUEST_COOKIES_NAMES "#(submit|validate|pre_render|post_render|element_validate|after_build|value_callback|process|access_callback|lazy_builder|type|markup|value|options)|\[#(submit|validate|pre_render|post_render|element_validate|after_build|value_callback|process|access_callback|lazy_builder|type|markup|value|options)" "t:none,t:utf8toUnicode,t:urlDecodeUni,t:removeNulls,t:cmdLine,t:removeWhitespace"

# GENERIC: Block all parameter names or get args starting with # or containing /# or space# or [#...]

SecRule &ARGS_NAMES|&FILES_NAMES|&REQUEST_COOKIES_NAMES "@gt 0" "phase:2,log,chain,id:3314,t:none,block"

SecRule ARGS_NAMES|ARGS_GET|FILES_NAMES|REQUEST_COOKIES_NAMES "^#|\/#| #|\[(?: )?#.*]" "t:none,t:utf8toUnicode,t:urlDecodeUni,t:removeNulls,t:cmdLine,t:compressWhitespace"

Эти правила закрывают и первую и вторую уязвимости на уровне веб сервера. Первое - специфичные для уязвимостей точки входа, второе вообще все возможные комбинации с #-й

Оказываем почасовую поддержку сайтам, сделанным на CMS Drupal, пишем модули, верстаем. Создание сайтов от 800руб. ( http://www.ra-don.ru ) + Партнёрская программа от 50% ( http://www.ra-don.ru/partners )
Сквозная аналитика бесплатно за Настройка событий Google Analytics Фасетная навигация и SEO:

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий