被黑的Drupal网站被用来挖矿,传播远控,发送诈骗邮件
字数 1212 2025-08-18 11:37:19

Drupal漏洞利用分析与防御指南

漏洞概述

本教学文档针对Drupal CMS系统中的两个高危漏洞进行分析,这两个漏洞被命名为"Drupalgeddon2"和"Drupalgeddon3":

  1. CVE-2018-7600 (Drupalgeddon2)

    • 漏洞类型:远程代码执行(RCE)
    • 影响版本:Drupal 7和8系列
    • 发现者:Jasper Mattsson
    • 修复时间:2018年3月28日

  2. CVE-2018-7602 (Drupalgeddon3)

    • 漏洞类型:远程代码执行(RCE)
    • 影响版本:Drupal 7.59、8.4.8和8.5.3
    • 修复时间:2018年4月底

漏洞利用方式

攻击者主要利用这些漏洞进行以下恶意活动:

1. 加密货币挖矿

  • 主要挖矿软件:Coinhive(最流行)、其他Monero矿池
  • 占比:超过80%的被攻击网站被用于挖矿

2. 远程控制与后门

  • 攻击方式
    • 安装PHP后门
    • 部署Perl编写的IRC机器人
    • 伪装成"网页浏览器更新"的远控软件(RAT)和密码窃取器
  • 占比:约12%的攻击涉及此类恶意软件

3. 技术支持诈骗

  • 攻击方式:通过被黑网站发送技术支持诈骗邮件
  • 占比:约7%的攻击涉及此类诈骗

受影响版本统计

根据Malwarebytes的分析数据:

  • Drupal 7.5.x:约50%的被攻击网站使用此版本
  • Drupal 7.3.x:约30%的被攻击网站使用此版本
    • 最后一次更新在2015年8月,存在大量已知漏洞

漏洞修复方案

官方补丁版本

  • Drupalgeddon2

    • Drupal 7.x:升级到7.59或更高
    • Drupal 8.5.x:升级到8.5.3或更高
    • Drupal 8.4.x:升级到8.4.8或更高

  • Drupalgeddon3

    • Drupal 7.x:升级到7.59或更高
    • Drupal 8.5.x:升级到8.5.3或更高
    • Drupal 8.4.x:升级到8.4.8或更高

特殊说明

  • Drupal 8.3.x和8.4.x版本已结束官方支持,但由于漏洞严重性,官方仍发布了安全更新

防御措施

  1. 立即行动

    • 检查当前Drupal版本
    • 立即升级到最新安全版本

  2. 长期防护

    • 建立定期更新机制
    • 对已结束支持的版本制定迁移计划

  3. 检测与响应

    • 监控服务器异常活动(CPU使用率突增等)
    • 检查是否有未知的PHP/Perl文件
    • 审查网站发送的邮件内容

  4. 加固措施

    • 限制文件上传和执行权限
    • 实施Web应用防火墙(WAF)规则
    • 禁用不必要的服务和功能

参考资源

  • Drupal官方安全公告
  • GitHub上的PoC(仅用于教育目的)
  • SANS和Malwarebytes的分析报告

总结

Drupalgeddon系列漏洞因其严重性和广泛影响成为攻击者的主要目标。管理员应立即采取行动修补系统,并建立长期的安全维护机制,防止网站被用于挖矿、传播恶意软件或进行诈骗活动。

Drupal漏洞利用分析与防御指南 漏洞概述 本教学文档针对Drupal CMS系统中的两个高危漏洞进行分析,这两个漏洞被命名为"Drupalgeddon2"和"Drupalgeddon3": CVE-2018-7600 (Drupalgeddon2) 漏洞类型:远程代码执行(RCE) 影响版本:Drupal 7和8系列 发现者:Jasper Mattsson 修复时间:2018年3月28日 CVE-2018-7602 (Drupalgeddon3) 漏洞类型:远程代码执行(RCE) 影响版本:Drupal 7.59、8.4.8和8.5.3 修复时间:2018年4月底 漏洞利用方式 攻击者主要利用这些漏洞进行以下恶意活动: 1. 加密货币挖矿 主要挖矿软件 :Coinhive(最流行)、其他Monero矿池 占比 :超过80%的被攻击网站被用于挖矿 2. 远程控制与后门 攻击方式 : 安装PHP后门 部署Perl编写的IRC机器人 伪装成"网页浏览器更新"的远控软件(RAT)和密码窃取器 占比 :约12%的攻击涉及此类恶意软件 3. 技术支持诈骗 攻击方式 :通过被黑网站发送技术支持诈骗邮件 占比 :约7%的攻击涉及此类诈骗 受影响版本统计 根据Malwarebytes的分析数据: Drupal 7.5.x :约50%的被攻击网站使用此版本 Drupal 7.3.x :约30%的被攻击网站使用此版本 最后一次更新在2015年8月,存在大量已知漏洞 漏洞修复方案 官方补丁版本 Drupalgeddon2 : Drupal 7.x:升级到7.59或更高 Drupal 8.5.x:升级到8.5.3或更高 Drupal 8.4.x:升级到8.4.8或更高 Drupalgeddon3 : Drupal 7.x:升级到7.59或更高 Drupal 8.5.x:升级到8.5.3或更高 Drupal 8.4.x:升级到8.4.8或更高 特殊说明 Drupal 8.3.x和8.4.x版本已结束官方支持,但由于漏洞严重性,官方仍发布了安全更新 防御措施 立即行动 : 检查当前Drupal版本 立即升级到最新安全版本 长期防护 : 建立定期更新机制 对已结束支持的版本制定迁移计划 检测与响应 : 监控服务器异常活动(CPU使用率突增等) 检查是否有未知的PHP/Perl文件 审查网站发送的邮件内容 加固措施 : 限制文件上传和执行权限 实施Web应用防火墙(WAF)规则 禁用不必要的服务和功能 参考资源 Drupal官方安全公告 GitHub上的PoC(仅用于教育目的) SANS和Malwarebytes的分析报告 总结 Drupalgeddon系列漏洞因其严重性和广泛影响成为攻击者的主要目标。管理员应立即采取行动修补系统,并建立长期的安全维护机制,防止网站被用于挖矿、传播恶意软件或进行诈骗活动。