Что может случиться
У меня был личный сайт Drupal, взломанный во время Drupalgeddon, эксплойта аналогичной серьезности (хотя и другого типа). С точки зрения «что может произойти», в этом случае хакер поместил несколько файлов «задней двери» в мою кодовую базу (я тогда очень мало знал о разработке и не имел Git-репозитория), из которой он мог рассылать спам по электронной почте. , Соответствующий домен был занесен в черный список в фильтрах спама, и это было огромным беспорядком, чтобы иметь возможность отправлять электронную почту с этого домена в течение нескольких месяцев, которые я хранил впоследствии.
Поскольку эта уязвимость делает возможным удаленное выполнение кода, злоумышленник может предположительно установить модули для проведения фишинговых атак, выполнения команд в командной строке с помощью php exec (), кражи паролей и тем самым поставить под угрозу большую часть вашего сервера. Ущерб может варьироваться от чего-то простого: от того, что ваша машина завербована в спам-движок или узел бот-сети, или если у вас есть конфиденциальная информация, злоумышленник может украсть ее и либо перепродать, либо шантажировать вас, в зависимости от информации и мотивов злоумышленника.
Как определить, что вас взломали?
В большинстве случаев ваш сайт не будет поврежден. Когда две группы 14-летних сценаристов сталкиваются друг с другом, вы можете увидеть сайт, испорченный изображениями Гоатса (NSFW), но если хакер не имеет ничего против вас лично, он не собирается этого делать. Цель хакера - либо деньги, либо возможность совершать преступления с чужим компьютером.
Имея это в виду, общие вещи, которые вы увидите, - это создание новых пользователей (особенно администраторов), и в журналах вы можете увидеть определенный IP-адрес, отправляющий только один тип (ненормальный) запрос. В случае с Drupalgeddon я смог понять это, увидев запросы POST к файлу php в моем журнале доступа.
Если вы не можете исправить свой сайт сразу
Если вы не можете исправить сайт сейчас, я бы порекомендовал вырезать сервер apache / nginx, чтобы никто не мог попасть на ваш сайт. Или попросите сервер перенаправить весь трафик на страницу HTML, объясняющую, что вы не хотите обслуживать, то есть «режим жесткого обслуживания». В любом случае, вы не хотите, чтобы посетитель мог делать какие-либо попытки при загрузке Drupal, пока вы не получите обновление или патч на месте.
И вспоминая, как мой сайт взломали, помните, что первые атаки Drupalgeddon начались через 7 часов после релиза, и это было в форме скрипта, который автоматически взломал тысячи сайтов. Быстро двигаться!
Если вас взломали
Надеемся, у вас есть резервная копия, и в этом случае лучше всего «обстреливать весь сайт с орбиты» и начинать заново с нового сервера. Однажды я провел ручной аудит БД и файлов, потому что у меня не было Git и регулярных резервных копий - это занимает очень много времени, но если это произойдет, сделайте глубокий вдох, изучите Git и научитесь настраивать правильная среда резервного копирования. Если у вас есть бизнес и сайт для клиентов, скажите им правду заранее. Вы, вероятно, потеряете их, но лучше потерять клиента (вы можете получить новых), чем свою репутацию.