Массовый взлом сайтов на Drupal (SA-CORE-2018-002/004 / CVE-2018-7600)

Сегодня специалисты из CheckPoint опубликовали рабочий эксплойт для недавно обнаруженной уязвимости Drupal (SA-CORE-2018-002). Хакеры не заставили себя долго ждать и уже начали атаковать сайты. Пример атаки:

Если ваш сайт работает не на самой последней версии Drupal, рекомендуем срочно обновить CMS (хотя, возможно, что уже поздно). Если обновить по какой-то причине вы не можете, добавьте следующие строки в начало .htaccess файла

RewriteEngine On
RewriteCond %{QUERY_STRING} %2523 [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC,OR]
RewriteCond %{QUERY_STRING} ajax/name/%23value/ [NC,OR]
RewriteCond %{QUERY_STRING} ajax/name/#value/ [NC]
RewriteRule .* - [L]

Но обращаем внимание, что это временное решение для блокировки атаки. 

Проверить, атаковали ли ваш сайт, можно по логам веб-сервера (access_log файл). Поищите в нем строку account/mail/%23value или account/mail/#value. Если найдете - значит атака уже случилась.

В результате атаки на сайт загружается php-бэкдор, которым хакерские боты в последствии будут выполнять различные несанкционированные операции (внедрять вредоносные фрагменты кода в php скрипты, запускать майнеры криптовалюты, загружать веб-шеллы и спам-рассыльщики, инжектировать данные в БД, и пр).

Если вас уже атаковали, обязательно проверьте файлы сайта сканером AI-BOLIT.

Если самостоятельно сделать это не получается, напишите нам.