Drupal waarschuwt voor gehackte websites
Drupals veiligheidsteam heeft een openbare dienstverklaring gegeven waarin het zijn klanten waarschuwt dat hun websites geïnfecteerd zijn. Het advies is om opnieuw te beginnen, tenzij de website een patch heeft gedownload en geïnstalleerd binnen zeven uur na de onthulling van de SQL injection-aanval twee weken geleden.
“Je moet verder werken onder de aanname dat elke Drupal 7-website geraakt is”, staat te lezen in de veiligheidsverklaring. “Je bent alleen veilig als je de update of patch geïnstalleerd hebt voor middernacht van 15 op 16 oktober.”
[related_article id=”161920″]
Geautomatiseerde aanvallen
Het veiligheidsteam van Drupal zei dat het binnen enkele uren na de SQL injection-onthulling al geautomatiseerde aanvallen waarnam op gepatchte websites. Het nu nog updaten naar de laatste versie van Drupal verhelpt het probleem niet, omdat aanvallers al toegang hebben kunnen krijgen tot de data zonder enig spoor na te laten.
“Met updaten naar versie 7.32 of het toepassen van patchfixes dicht je de zwakke plek, maar het maakt een al geraakte website niet. Kom je tot de conclusie dat je website de patch al heeft ontvangen, maar heb je dit zelf gedaan? Dan kan dat een teken zijn dat er al iemand toegang tot heeft gekregen. Sommige aanvallers hebben nadat ze zichzelf toegang hebben verschaft de patch geïnstalleerd. Dit om er zeker van te zijn dat zij de enige zijn met toegang tot de website.”
Backup terugzetten
Om alle achterdeurtjes te verwijderen die de hackers open hebben kunnen zetten op een systeem met een lekke versie van Drupal, adviseert het veiligheidsteam een back-up terug te zetten van voor 15 oktober. Daarvoor is onderstaand stappenplan ontwikkeld:
- Haal de website offline door hem te vervangen met een statische HTML-pagina.
- Waarschuw de serverbeheerder nadrukkelijk dat ook andere websites en applicaties op hetzelfde systeem geraakt kunnen zijn door een aanval.
- Overweeg het nemen van een nieuwe server of verwijder alle bestanden van de website en leeg de database (houd een kopie om later te analyseren).
- Herstel de website (Drupal-bestanden, geüploade bestanden en de database) vanuit een back-up vóór 15 oktober 2014.
- Update of patch de herstelde Drupal-code.
- Zet de herstelde en geüpdatete website weer online.
- Wijzig handmatig de dingen die je anders wil zien of die je al had veranderd na de datum van de aanval.
- Controleer alles wat je van de oude website terug wil zetten – zoals aangepaste code, configuraties, bestanden of andere objecten – om er zeker van te zijn dat er niet mee geknoeid is.
Het populaire openbron Drupal-framework wordt door heel veel websites gebruikt, groot en klein, verspreid over het hele internet.
Vorige maand tekende de Australische overheid een vierjarig contract met Acquia om het op Drupal gebaseerde Government Content Management System (GovCMS) te implementeren. Een woordvoerder van Acquia liet destijds weten dat de overheid inschatte dat tussen de 180 en 400 websites gebruik gaan maken van het nieuwe systeem.