Drupal.org komt met een 'zeer kritieke' aankondiging: als beheerders op 15 oktober niet direct een urgentie patch voor versie 7 hebben geïnstalleerd, dan zijn ze waarschijnlijk gehackt via SQL injectie en van onzichtbare backdoors voorzien. Een paar uur na bekendmaking van dit lek en de patch zijn er namelijk grootschalige en geautomatiseerde aanvallen geweest op talloze Drupal 7 sites.
Site offline en terugdraaien
Heeft de admin langer dan een paar uur gewacht, dan moet er van worden uitgegaan dat de site is gecompromitteerd. Backdoors kunnen zeer goed verstopt zitten, en sporen van de aanval onzichtbaar.
Ook het later of nu nog patchen heeft weinig zin, de organisatie adviseert de site geheel offline te halen en een versie van vóór 15 oktober weer live te zetten. Hier meer advies.
De timing van de waarschuwing is onduidelijk, de patch zelf is immers al twee weken geleden beschikbaar gekomen. Waarschijnlijk heeft de Drupal-organisatie nu pas kennis van de grootscheepse hackaanvallen vlak er na.
De websites die ik draai zijn read-only behalve voor de sftp/ssh user die de site beheert, en een paar upload/images directories. Ik snap dus niet zo goed waarom je de hele site niet meer zou mogen vertrouwen en dat er rare backdoors in kunnen zitten. Of zit dat in de databases?
omdat je database niet read only is vermoed ik.
daar kunnen dingen in worden gewijzigd door de aanval.
zoals een extra gebruikers beheerders account etc....
SQL injectie, de naam zegt het al er wordt 1 regel aan een database tabel toegevoegd, je ziet er niets van tenzij je weet waar je moet zoeken.
Die regel geeft de hacker admin rights en dan kan die je site overnemen.
Hee is Webwereld er mee gestopt? In plaats van de vijftien berichten die twee dagen voorlopen op nu.nl lopen jullie nu met een schamele drie berichtjes twee dagen ACHTER op nu.nl.
Prachtig argument om mee te nemen als ik maatwerk aan mijn klanten verkoop. Succes voor de mensen met Drupal 7 sites.
Domme klanten die denken dat maatwerk dit niet kan overkomen.
Moehaha! Nu al medelijden met je klanten.
Niet alleen kan dit ook met maatwerk gebeuren, maat werk moet ook onderhouden worden en het is dan de vraag waarmee je beter af bent: de Drupal community of de persoon die het maatwerk heeft geleverd.
Maatwerk is voor mij te riskant en ik verkoop dat dan ook principieel niet.
For the record, natuurlijk kan je je Drupal 7 installatie controleren op Malware. Ik heb dat dan ook gedaan, Ik zal er binnenkort een blog-post over schrijven.
Tripwire.. bewijst nog steeds prima diensten op webservers.
Met Open Source hebben we toch alleen maar beveilingsproblemen bij grote uitzondering? En bovendien zou het per kerende post zijn verholpen, zo'n probleem. Of heb ik het nu weer helemaal verkeerd begrepen?
Dat is een quote van een of ander artikel, op de Drupal website kan je lezen hoe dat zit.
@villaro: Drupal 6 is not affected
Hoe zit dat dan als je op drupal 6 draait?
Is dat de reden dat alle idg-sites vanmorgen offline waren?
Reageer
Preview