Drupal hackeado


Hace unos dias nos llego a Bikuma un caso de un sitio web en Drupal que había sido hackeado y se había modificado la página de inicio dejando un mensaje reivindicativo de un grupo en arabe.

Investigando localizamos una página de Facebook del grupo que había dejado el mensaje y más tarde también localizamos el script que habian utilizado para atacar el sitio web.

Este tipo de scripts estan diseñados para gente, que sin apenas conocimientos, puedan hackear webs facilmente introduciendo la url para comprobar si el sitio es vulnerable, y normalmente son realizados por los miembros con más conocimientos del grupo.

grupo facebook grupo-facebook-x-sec team

Si la web finalmente es vulnerable y la consiguen hackear, lo publican en su página a la que acceden los miembros del grupo y entre todos van publicando usuarios y passwords de acceso para que el que quiera, acceda y pueda hacer modificaciones. Normalmente lo que hacen es reemplazar las páginas de inicio por alguna otra página con mensajes reivindicativos. 

Generalemente se suelen desarrollar este tipo de scripts contra los CMSs más populares como Wordpress, Joomla y Drupal , ya que el numero de objetivos con este software es considerable.

El script que encontramos en concreto es para sitios Drupal y si son vulnerables, consigue crear un usuario y password con permisos de administrador. A partir de ahí el siguiente paso suele ser subir una shell y luego pueden hacer cualquier cosa en la web.

drupal hackeado

Este script en concreto, busca un exploit de una versión antigua del core de Drupal que afectaría a versiones inferior a la 7.32, mediante un ataque SQL injection CVE-2014-3704. El equipo de Drupal lo publicó el Security Advisory PSA-2014-003 . 

La release de Drupal 7.32 fue conocida como Drupalgeddon porque afecto a muchos sitios web Drupal.

Para que no sucedan este tipo de cosas en vuestros sitios webs os recomendamos que mantengais actualizada tanto la versión del core de Drupal, como los módulos que useis a la última versión.

Si vuestro sitio ya ha sido hackeado, es posible que puedan haber dejado shells o backdoors, tendríais que revisarlo o restaurar un backup antes de que el sistema estuviera comprometido. Por supuesto, debeis cambiar todas las contraseñas. 

Si habéis sido objetivo de un ataque de este tipo o si quereis prevenirlo manteniendo vuestro sitio web seguro y actualizado, poneros en contacto con nosotros, os ayudaremos.

 

Necesito ayuda para actualizar y mantener mi web segura