Rilevo possibile falla nella sicurezza di siti in Drupal i quali potrebbero essere caduti sotto l’attacco della vulnerabilità denominata Drupageddon.
Drupageddon è il nome dato ad un evento forse di portata “epocale” nella storia di Drupal poiché ha intaccato presumibilmente centinaia di migliaia di siti web.
Ogni sito in Drupal potrebbe avere di fatto una backdoor utilizzabile dagli hacker per entrare nel sito e disporne come meglio credono, al punto di poter eseguire codice (di qualsiasi tipo) arbitrariamente. Questo a causa degli exploit automatizzati lanciati in rete immediatamente dopo l’annuncio della vulnerabilità critica a carico del CMS.
Sintomo per eccellenza che la backdoor sia stata installata è il fatto che l’hacker, allo scopo di non permettere ad altri di entrare e prendere il suo posto, abbia “curato” egli stesso il sito con un’opportuna patch.
Interventi attuati per riparare i siti bucati
- Mettere offline il sito
- Attuazione del diagramma di recupero elaborato da Bevan Rudge
- Eliminata ogni sessione direttamente dal database
- Resettate tutte le password anche questo direttamente dal database
- Cambio delle password dello spazio FTP e del database
- Pulizia selettiva del database
- Re-installato il core “pulito” della piattaforma
- Re-installati i plugins, puliti anch’essi
- Ripristino dei settaggi
- Ripristino del tema precedentemente installato e di eventuali files / righe di codice preesistenti e non collocate nella cartella del tema
- Update del sito
- Controllo dei permessi delle cartelle
- Eliminazione di utenti e ruoli “inutili”
- Controllo dei vari blocks e views preesistenti