被黑的Drupal網站被用來挖礦，傳播遠控，發送詐騙郵件

黑客正在利用最近Drupal CMS中的已知漏洞，例如Drupalgeddon2和Drupalgeddon3來傳播挖礦軟體、遠程管理工具（RAT）和以技術支持為名的詐騙郵件。

兩個漏洞編號為CVE-2018-7600和CVE-2018-7602的遠程代碼執行漏洞之前已經被Drupal開發人員修復。

3月底，Drupal安全團隊確認，CVE-2018-7600的「非常關鍵」漏洞（被稱為Drupalgeddon2）會影響Drupal 7和8版本，團隊宣布在3月28日發布安全更新。

這個漏洞的發現者是Drupal開發人員Jasper Mattsson發現。

Drupal 8.3.x和8.4.x版本都已經沒有了官方支持，但由於漏洞非常嚴重，Drupal安全團隊決定發布更新，專家把它稱為Drupalgeddon2。

黑客大肆攻擊

安全專家們為了教育目的在GitHub上發布了Drupalgeddon2的PoC，黑客們於是就開始了他們的攻擊。

安全公司發現，黑客們已經開始利用這個漏洞在網站上安裝惡意軟體，主要是挖礦軟體。

SANS專家報告了幾次攻擊，他們發現了一個挖礦軟體，一個PHP後門和一個用Perl編寫的IRC機器人。

4月底，Drupal團隊修復了一個新的非常關鍵的遠程代碼執行漏洞（名為Drupalgeddon 3），適應的版本號為7.59,8.4.8和8.5.3。

同樣，黑客也在利用CVE-2018-7602劫持伺服器並安裝挖礦軟體。

Malwarebytes的專家對涉及Drupalgeddon2和Drupalgeddon3的攻擊進行了分析，發現大多數被攻擊的Drupal網站運行的是7.5.x版本，大約30％的用戶運行7.3.x版本，這個版本最近一次的更新是在2015年8月。

「幾乎有一半被我們標記為淪陷的網站運行的是Drupal 7.5.x版本，而7.3.x版本仍然約佔30％，考慮到它的最終更新是在2015年8月，這個比例相當高。在那之後已經出現了大量的安全漏洞。「Malwarebytes分析道。

超過80%被攻擊的網站被運行了挖礦軟體，其中Coinhive仍然是最受歡迎的軟體，其次是公共或私人的Monero池。

值得注意的是，大約12%的攻擊會把遠控軟體或者密碼竊取器偽裝成網頁瀏覽器更新，而技術支持的欺詐郵件佔到客戶端攻擊的近7%。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！