Cuando drupalgeddon nos alcance

Generalmente cuando sale una actualización de drupal muchos nos tomamos algo de tiempo para cambiar de versión. Da la sensación que no pasa nada, pero con la ultima vulnerabilidad están pasando cosas y malas.

Si no has actualizado tu sitio a la versión 7.32 y entras a la administración y vez un nuevo usuario que se llama drupaldev y un nuevo rol que se llama megauser. ya estas en el club de miles de sitios web hackeados.

Por principio pareciera que no hace nada ese usuario, ningun contenido nuevo o comentarios, nada de eso, al parecer este nuevo usuario modifica tablas en la tabla menu_router que permite llamar un nuevo archivo php

ubicado en algun lugar de la instalación, el nombre y la ubicación de este archivo php varia. en algunos comentarios se habla también que puede cambiar la clave del primer usuario o intentar cambiar permisos de carpetas o cambiar la dirección de correo, esta parte no se si queda en rumor o en alguna otra variante.

Se puede ver la explicación en este post

http://www.zoubi.me/blog/drupageddon-updating-drupal-732-not-enough-your-site-may-already-be-hacked

También existe mucha información en los comentarios de la propia actualización:

https://www.drupal.org/node/2357241#comment-9265415

Es una lista de comentarios que crece y crece conforme cada adminsitrador se va dando cuenta de que esta pasando.

Al parecer existe un cierto camino para reparar el problema (leer esto con precaución)

La primera solución es, si se tiene un respaldo de base de datos y de archivos el volver a esa versión, algunos recomienda regresar a una copia de todo el servidor, esto es posible si el hospedaje donde se esta va haciendo copias

de toda la imagen periodicamente, esta es quizas la opción más segura, pero en muchos casos no es posible ya se a por que no exista el respaldo o por que se pierda demasiada información.

El segundo camino es un disgnostico, existe una herramienta con drush para revisar si el sitio web esta comprometido se llama Drupalgeddon

primero se tiene que instalar la herramienta en:

~/.drush/commands

(Esta dirección puede variar dependiendo como se tenga configurado drush)

Al estar en esa carpeta se intala Drupalgeddon y site audit

drush dl site_audit
drush dl drupalgeddon

Despues se borra el cache de drush

drush cache-clear drush

y despues de instalar esta herramienta se va a la carpeta del sitio web y se corre el comando:

drush audit_security

si no se tiene el virus saldra un mensaje de success y si el sitio tiene problemas mostrara cual es el problema, por ejemplo en algunos casos muestra:

The following roles have been detected: #1000: megauser [error]
Delete the offending roles from your site and check for other malicious activity.

En otros muestra el problema en la tabla

Menu Router
The following potentially malicious paths have been discovered: bihzpn, [error]
hlrzbf
Delete the offending entries from your menu_router, delete the target file, update your Drupal site code, and check your entire codebase for questionable code using a tool like the Hacked! module.

Es importante indicar que estos comandos sirven para revisar donde esta el problema, pero no borra nada, eso se tiene que hacer por cuenta propia.

También existe un módulo que ayuda a revisar si existen cambios a los archivos de una instalación de drupal se llama hacked, es una buena opción para darse cuenta si existen cambios en módulos como pueden ser archivos añadidos.

Debemos actualizar el sitio web y revisar lo que esta pasando puede ser que se empiecen a ver más ataques aprovechando esta ultima vulnerabilidad.

Creo que también es importante que como comunidad en español se hagan traducciones y se investigue el problema para enterar a todo mundo!

¡Todos actualizar sus sitios web!!

Actualización (Octubre 25) Vale la pena darle una leida al post http://drupal.geek.nz/blog/your-drupal-website-has-backdoor trae un diagrama de que hacer en cada caso.

Actualización (Octubre 27) En Acquia sacaron una lista de los diferentes tipos de ataques que han detectado: https://www.acquia.com/blog/learning-hackers-week-after-drupal-sql-injection-announcement Publicaron un video en modulesunraveled explicando también entre otras cosas como sustituir archivos con Git. https://modulesunraveled.com/blog/how-restore-your-hacked-site

Visita este texto en los grupos de drupal.org

https://groups.drupal.org/node/447398

Categorias

Seguridad

Versión

Drupal 7

Añadir nuevo comentario

Su nombre

Correo electrónico El contenido de este campo se mantiene privado y no se mostrará públicamente.

Página principal

Comentario

Acerca de formatos de texto

HTML Restringido

Etiquetas HTML permitidas: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
Saltos automáticos de líneas y de párrafos.
Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.

Cuando drupalgeddon nos alcance

Añadir nuevo comentario

HTML Restringido

Iniciativa de Design Systems en Drupal

Nuevas actualizaciones de seguridad en Noviembre

Taller de Drupal en Xalapa - 30 de Octubre

Diez maneras de mejorar tus habilidades de programación en Drupal

Cambiar AJAX por HTMX en Drupal

Nueva fecha para terminar con Drupal 7