有人使用Drupalgeddon 2和Dirty COW漏洞來接管Web服務器

Imperva研究人員告訴ZDNet，黑客已經在過去幾天內對Drupal網站所有者發起了一種新型攻擊。

通過這些最近的攻擊，黑客的目標是在服務器上獲得立足點，提升他們對root帳戶的訪問權限，然后安裝合法的SSH客戶端，以便他們可以在以后的日期登錄被劫持的服務器。

為了實現他們的目標，黑客一直在使用兩個著名的漏洞，其中一個在2016年發現。

攻擊是如何發生的

根據Imperva的說法，這次攻擊的第一步就是黑客大規模掃描互聯網，查找運行過時版本的Drupal網站管理器(CMS)的網站，該版本未針對今年3月曝光的Drupalgeddon 2漏洞進行修補。

當他們發現其中一個易受攻擊的網站時，黑客會部署Drupalgeddon 2漏洞，以便在受感染的網站上獲得有限的立足點。

他們稍后使用此立足點搜索Drupal站點的本地配置文件以獲取數據庫憑據。

如果數據庫連接設置包含名為“root”的帳戶，則他們會嘗試該帳戶的服務器憑據憑據，以期獲得對站點底層服務器的root訪問權限。

但是，如果失敗，黑客會遷移部署名為Dirty COW的第二個漏洞，這是針對2016年發現的同名漏洞，該漏洞允許黑客將其訪問權限從有限的用戶帳戶提升為root訪問權限。

黑客經歷了所有這些步驟，因為他們需要訪問root帳戶才能在服務器上安裝合法的SSH守護程序，Imperva認為他們需要連接到服務器并運行其他操作。

已檢測到數十起攻擊事件

Imperva威脅分析經理Nadav Avital今天早些時候接受采訪時告訴ZDNet，該公司的網絡防火墻已經“保護了數十個網站免受感染”。

“由于所有的攻擊都被Imperva發現并阻擋，我們無法完全確定攻擊者的最終目標，”Avital告訴我們。“話雖如此，在我們的一份最新報告中，我們發現近90%%的此類攻擊都試圖安裝加密挖掘惡意軟件。”

但是，除了Imperva阻止開采嘗試的“數十個”網站之外，這些攻擊的范圍可能要大得多。這是因為大多數Web服務器已經運行了SSH守護程序，并且黑客不需要經歷完整的開發方案。

考慮到這種攻擊依賴于利用兩個非常著名的漏洞，很久以前已經提供了補丁，網站和服務器所有者可以通過更新Drupal及其Linux服務器輕松確保他們免受此類攻擊。

特別是Avital，警告要更新Drupal CMS，這些黑客入侵點。該研究人員表示，即使Drupalgeddon 2漏洞在六個月前曝光，Drupal網站仍然處于不斷的攻擊之下，隨著網站所有者更新其CMS，攻擊應該會減少。不幸的是，事實并非如此。

“考慮到[...]，補丁的昏昏欲睡，漏洞的嚴重性以及許多黑客工具加入了這一攻擊的事實，導致了大量的攻擊，”Avital告訴ZDNet。“即使在今天，Drupalgeddon也是黑客們試圖使用的最受歡迎的攻擊媒介之一。”