2018년 봄에는 Drupal 취약점으로 인한 감염 수가 놀라울 정도로 증가했습니다. 한때 WordPress 및 Joomla와 같은 경쟁업체 중 가장 안전한 CMS 중 하나로 간주되었으며 전 세계 여러 비즈니스에 서비스를 제공하던 Drupal은 최근 또 다른 악의적인 공격을 받았습니다.
Drupal 사용자는 현재 로컬 스토리지 [.tk] 공격이 최근 발생한 대규모 감염 급증에 대처하고 있습니다. 감염은 사용자를 "js.localstorage[.]tk"를 통해 "기술 지원" 사기로 리디렉션함으로써 수천 개의 Drupal 웹사이트에 영향을 미쳤습니다.
드루팔 감염
이 Drupal 익스플로잇은 다양한 .tpl.php에 삽입되는 악성 JavaScript 코드를 통해 나타납니다. , .html.twig 및 .js 파일. 악성 스크립트는 hxxps://js.localstorage[.]tk/s.js?crt=new에서 주입됩니다. 또는 hxxp://193.201.224 .233/m.js?d=3에서 로드할 수 있습니다. , 이는 악성 리디렉션으로 이어집니다. 게다가 이 코드는 데이터베이스 내의 수많은 다른 위치에 악성 스크립트를 주입합니다.
[code inline="true" scrollable="true"]eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59)); [/code]
Drupal:감염된 페이지에 위의 JavaScript 코드가 포함되어 있습니다.
파일과 데이터베이스에서 이러한 악성 JavaScript 코드를 제거하는 것은 무의미할 수 있습니다. 해커는 파일이 깨끗한 것으로 의심되는 경우 파일을 다시 감염시키기 위해 파일을 생성했기 때문입니다. 이러한 파일은 일반적으로 "g.php ", "tonure.php " 또는 "jooner.php ".
다음은 악성 자바스크립트 파일을 .tpl.php에 삽입하는 악성코드 인젝터 코드입니다. , .html.twig , header.php, 및 drupal.js 파일.
Massive localstorage[.]tk Drupal Infection의 몇 가지 일반적인 증상은 다음과 같습니다.
- Index.php 파일이 생성되어서는 안 되는 하위 디렉토리에 생성됩니다.
- 공개 파일 및 폴더에서 "g.php", "tonure.php", "jooner.php" 또는 stats.php와 같은 임의의 파일 이름을 가진 의심스러운 파일 발견. 또한 의심스러운 16진수 이름이 있는 .ico 파일 및 PHP 파일을 발견하면 의심이 생길 수 있습니다.
- public_html에서 사이트의 모든 디렉토리 및 하위 디렉토리에 있는 .ico에 대한 포함과 함께 .ico 확장자와 index.php 권한 0755를 가진 임의의 문자가 있는 파일 검색
- public_html에 대한 권한을 777로 변경하여 SuPHPdue를 실행하는 서버에서 500 서버 오류가 발생했습니다.
- %localstorage% 발생과 같은 데이터베이스의 해킹 스크립트에 대한 참조 데이터베이스의 참조.
Drupal 악용에 대한 완화:localstorage[.]tk 감염
피해가 이미 발생했을 수 있지만 일련의 조정된 완화 전략을 따르면 추가 악용을 무시하고 이 Drupal 취약점을 완화할 수 있습니다. 다음 단계를 사용하여 이 Drupal 감염을 제거하고 향후 취약점을 완화할 수 있습니다.
- Drupal 버전 업그레이드: 이 감염을 치료하려면 최신 Drupal 버전(최소한 Drupal 7.59, Drupal 8.5.3 또는 Drupal 8.4.8)으로 완전히 패치하고 업그레이드하는 것이 좋습니다.
- 백도어 제거 :모든 백도어(악성 크론 작업 포함)를 제거한 다음 감염된 Drupal 파일 및 데이터베이스에서 주입된 악성 코드를 제거해야 합니다. 백도어를 제거하지 못하면 Drupal 사이트에 멀웨어가 다시 유입될 수 있으며 정리/교체한 파일이 다시 감염될 수 있습니다.
- 다른 방법으로 감염을 제거하면 즉시 재주입될 가능성이 있습니다. Astra의 가이드를 따르는 것이 좋습니다. 해킹된 Drupal 사이트를 청소하는 중입니다.
- 공식 Drupal 포럼에 설명된 단계별 가이드 따르기
- 웹사이트 방화벽을 사용하는 것이 좋습니다. 임박한 위협에 대비하여 사이트를 즉시 패치하고, 발견된 취약점에 대한 최신 정보를 제공하거나 패치/버전이 출시되는 즉시 사이트를 패치/업데이트하도록 알려줍니다.
그런 온라인 공격으로부터 Drupal 사이트에 대한 완벽한 보안을 찾고 계십니까? 비즈니스를 하는 동안 보안을 보장하려면 Astra의 Drupal Securit Suite를 신청하십시오.
즉각적인 도움이 필요하면채팅 위젯에서 메시지를 보내주세요.
개발자를 위한 보안 코딩 관행 체크리스트를 위한 Astra 가이드 다운로드