Если вы читаете эту статью и надеетесь проверить сайт Drupal 7 более чем через месяц после того, как эксплойт обнаружен, ваш сайт, скорее всего, уже взломан . Лучше всего восстановить резервную копию до того, как начались атаки, и работать оттуда.
На SA-CORE-2014-005 есть часто задаваемые вопросы .
Как мне узнать, были ли мои сайты взломаны?
Один из способов быстро проверить, не скомпрометированы ли сайты, - это команда Drupalgeddon drush.
Установите на свой ~/.drush
сdrush dl drupalgeddon
Затем используйте drush drupalgeddon-test
для проверки. Псевдонимы делают это легко и быстро.
Этот инструмент может подтвердить использование сайта, но он не может гарантировать, что ваш сайт не был использован. Здесь нет «чистого счета здоровья», если вы не обновились до начала атаки.
Модуль Site Audit включает в себя некоторые проверки от Drupalgeddon, и дает вам гораздо более полезный вклад также. Я очень рекомендую это. (РЕДАКТИРОВАТЬ: Теперь они работают вместе - супер приятно!)
Обзор безопасности не проверяет наличие атак на Друпалгеддон, но его тоже стоит иметь в своем инструментальном поясе.
Если кодовая база вашего сайта была доступна для записи пользователю www, вы могли бы дополнительно проверить наличие модифицированного кода, используя взломанный модуль. Этот модуль может не делать то, что вы думаете, основываясь только на его названии :)
Хотя не существует единого способа идентификации всех скомпрометированных сайтов, эти инструменты могут помочь вам определить наиболее распространенные признаки.
Что я должен искать в журналах доступа Apache, чтобы определить, был ли мой сайт жертвой или нет?
Ваши журналы доступа будут содержать много запросов POST. Если вы не предприняли необычный шаг по регистрации всех публикаций перед ошибкой, у вас вряд ли будет информация, которая скажет, какие из них были вредоносными.
Пока что эти хакеры делают для взломанных сайтов?
Многие сообщают, что их сайты залатаны хакерами! Как злоумышленник, это имеет смысл - вы не хотите, чтобы ваш недавно взломанный сайт был вырван из-под вас следующим злоумышленником :)
Кроме этого, я бы предположил, что сайты используются для сбора любых ценных данных (возможно, получить некоторые кредиты, может поднять детали транзакций после использования) и выполнять скучные вещи, такие как рассылка спама и работа в качестве скромных ведомых ботнетов. Да, и еще больше расширяйте империю атакующих сайтов, захваченных Drupal. (Извините, у меня нет взломанных сайтов для наблюдения.)