Drupal 7 - 日志中的攻击

信息安全 德鲁巴
2021-08-13 00:16:14

在我的 Drupal 7 日志中,我看到以下条目:

http://example.com/?q=file/ajax/name/%23value/form-tkSDwR6W66a8vR_AIDxAzwMVklkjTkNMjf8SEqfTX8Q

有几个像这样的条目,只有最后一个字符串发生了变化。

这是未经身份验证的用户。

我也尝试访问该 URL,并得到以下信息:

[{"command":"settings","settings":{"basePath":"\/","pathPrefix":"","themename":{"topoptiontext":"Page selection"},"ajaxPageState":{"theme":"themename","theme_token":"xxxxxx"}},"merge":true},{"command":"insert","method":"replaceWith","selector":null,"data":"\u003Cdiv class=\u0022messages error\u0022\u003E\n\u003Ch2 class=\u0022element-invisible\u0022\u003EError message\u003C\/h2\u003E\nAn unrecoverable error occurred. The uploaded file likely exceeded the maximum file size (128 MB) that this server supports.\u003C\/div\u003E\n","settings":null}]

在上面的日志条目中,我删除了我的主题名称并将令牌替换为 xxxx 我猜攻击者没有设法进入。

我的网站已修补到最新版本 7.58

我应该担心吗?我应该做些什么来防止它发生吗?

非常感谢

1个回答

这看起来像是试图利用 CVE-2018-7600 aka SA-CORE-2018-002 的一部分,该漏洞已在 Drupal 7.58(以及 8.3.9、8.4.6 和 8.5.1)中修复。在提出这个问题时,这已被广泛 利用。

如果您已经在运行一个完全打补丁的 Drupal,那么您就不容易受到这种攻击。但是,现在已知 Drupal 7.58 容易受到类似的攻击,因此如果您还没有更新到最新版本,您应该确保更新到最新版本。

一般来说,任何使用 Drupal 的人都应该确保保持 Drupal 核心以及他们使用的任何模块和主题都是最新的(所有软件都是如此)。Drupal 在https://www.drupal.org/security上发布其安全公告,以及有关如何在可用时获得通知的信息

如果您有任何尚未修补的 Drupal 站点,请参阅https://www.drupal.org/docs/develop/security/your-drupal-site-got-hacked-now-what

如果您有兴趣,可以添加$conf['sanitize_input_logging'] = TRUE;到您的 settings.php 文件(在完全修补的站点上),以启用额外记录检测到的利用此问题的尝试。然后,当检测到漏洞利用尝试时,您将开始在看门狗日志中看到有关“已删除可能不安全的密钥...”的消息。

最初的攻击(针对 Drupal 7)分为两部分。第一部分通过表单(通常是密码重置表单)向页面发出精心设计的请求,以将特殊值存储在缓存中;第二个请求 /file/ajax... URL 的方式欺骗​​ Drupal 的表单 API 误解缓存的值并执行其中包含的一些代码。第一个请求将被 Drupal 7.58 中的修复清理。第二个是您在此处的日志中看到的内容。(Drupal 7.59 中的附加修复为两者增加了额外的清理)。随机值是缓存键,在 Drupal 中称为表单构建 ID。

我猜 CVE-2018-7602 的漏洞利用可能看起来很相似,尽管公告似乎表明未经身份验证的用户无法利用这个漏洞,而且无论如何细节当时都没有公开。

其它你可能感兴趣的问题
上一篇作为安全合规专业人士,如果我发现我的雇主有 PCI AOC 但不合规怎么办? 下一篇盲 SSRF 可以做什么?