Generalmente cuando sale una actualización de drupal muchos nos tomamos algo de tiempo para cambiar de versión. Da la sensación que no pasa nada, pero con la ultima vulnerabilidad están pasando cosas y malas.
Si no has actualizado tu sitio a la versión 7.32 y entras a la administración y vez un nuevo usuario que se llama drupaldev y un nuevo rol que se llama megauser. ya estas en el club de miles de sitios web hackeados.
Por principio pareciera que no hace nada ese usuario, ningun contenido nuevo o comentarios, nada de eso, al parecer este nuevo usuario modifica tablas en la tabla menu_router que permite llamar un nuevo archivo php
ubicado en algun lugar de la instalación, el nombre y la ubicación de este archivo php varia. en algunos comentarios se habla también que puede cambiar la clave del primer usuario o intentar cambiar permisos de carpetas o cambiar la dirección de correo, esta parte no se si queda en rumor o en alguna otra variante.
Se puede ver la explicación en este post
http://www.zoubi.me/blog/drupageddon-updating-drupal-732-not-enough-your-site-may-already-be-hacked
También existe mucha información en los comentarios de la propia actualización:
https://www.drupal.org/node/2357241#comment-9265415
Es una lista de comentarios que crece y crece conforme cada adminsitrador se va dando cuenta de que esta pasando.
Al parecer existe un cierto camino para reparar el problema (leer esto con precaución)
La primera solución es, si se tiene un respaldo de base de datos y de archivos el volver a esa versión, algunos recomienda regresar a una copia de todo el servidor, esto es posible si el hospedaje donde se esta va haciendo copias
de toda la imagen periodicamente, esta es quizas la opción más segura, pero en muchos casos no es posible ya se a por que no exista el respaldo o por que se pierda demasiada información.
El segundo camino es un disgnostico, existe una herramienta con drush para revisar si el sitio web esta comprometido se llama Drupalgeddon
primero se tiene que instalar la herramienta en:
~/.drush/commands
(Esta dirección puede variar dependiendo como se tenga configurado drush)
Al estar en esa carpeta se intala Drupalgeddon y site audit
drush dl site_audit drush dl drupalgeddon
Despues se borra el cache de drush
drush cache-clear drush
y despues de instalar esta herramienta se va a la carpeta del sitio web y se corre el comando:
drush audit_security
si no se tiene el virus saldra un mensaje de success y si el sitio tiene problemas mostrara cual es el problema, por ejemplo en algunos casos muestra:
The following roles have been detected: #1000: megauser [error]
Delete the offending roles from your site and check for other malicious activity.
En otros muestra el problema en la tabla
Menu Router
The following potentially malicious paths have been discovered: bihzpn, [error]
hlrzbf
Delete the offending entries from your menu_router, delete the target file, update your Drupal site code, and check your entire codebase for questionable code using a tool like the Hacked! module.
Es importante indicar que estos comandos sirven para revisar donde esta el problema, pero no borra nada, eso se tiene que hacer por cuenta propia.
También existe un módulo que ayuda a revisar si existen cambios a los archivos de una instalación de drupal se llama hacked, es una buena opción para darse cuenta si existen cambios en módulos como pueden ser archivos añadidos.
Debemos actualizar el sitio web y revisar lo que esta pasando puede ser que se empiecen a ver más ataques aprovechando esta ultima vulnerabilidad.
Creo que también es importante que como comunidad en español se hagan traducciones y se investigue el problema para enterar a todo mundo!
¡Todos actualizar sus sitios web!!
Actualización (Octubre 25) Vale la pena darle una leida al post http://drupal.geek.nz/blog/your-drupal-website-has-backdoor trae un diagrama de que hacer en cada caso.
Actualización (Octubre 27) En Acquia sacaron una lista de los diferentes tipos de ataques que han detectado:
https://www.acquia.com/blog/learning-hackers-week-after-drupal-sql-injec...
Publicaron un video en modulesunraveled explicando también entre otras cosas como sustituir archivos con Git.
https://modulesunraveled.com/blog/how-restore-your-hacked-site
originalmente publicando en http://drupalmexico.com/es/blog/cuando-drupalgeddon-nos-alcance
| Attachment | Size |
|---|---|
| drupalgeddon.jpg | 26.99 KB |
Comments
Que chido que publicaste esto
Que chido que publicaste esto en español Koffer =). Es info que está en inglés en otro lados pero que igual hace falta difundir más.
Este bug de seguridad ya tiene bots atacando miles de sitios de Drupal. Una buena descripción de esto esta en el blog de pantheon: https://www.getpantheon.com/blog/what-we-are-seeing-drupal-sa-2014-005. Básicamente, si tu sitio tiene ya varios meses operando, es muy probable que lo tengan apuntado en listas de sitios que usan drupal, y los sitios en estas listas son atacados sistemáticamente.
También a nosotros ya nos tocó trabajar con sitios a los que les pegó este issue.
Y pues simplemente nos viene a recordar que hay que ser muy concienzudo con la seguridad, actualizar tu sitio cada que hay actualizaciones de seguridad, porque de otra manera quedas expuesto.
De nada
Jackbravo a mi ya me pego en algunos sitios y creo que ya logre solucionar el problema, pero siento que es el primer gran ataque a sitios en Drupal y creo que en esta parte del mundo lo andamos descubriendo, ahora si que la ayuda que se pueda en traducir o aportar soluciones sera lo mejor, si no vamos a tener miles de sitios drupal hackeados y una pesima fama.
Ivan Mejia
www.medioyforma.info
www.drupalmexico.com
Ya tengo el problema
Pues despues de leer esto y revisar algunos sitios que administro, veo con pánico que ya 3 tienen el problema. entre ellos el mio. Desafortunadamente cometi el error de no actualizar el core de drupal y pues estoy pagando las consecuencias. La pregunta es ahora ¿Como resolver el problema? muchos saludos y gracias
algunas soluciones
Hola Caliope. Checa bien las ligas que pongo. La mejor solcuión parece ser regresar a un respaldo anterior de todo el sitio web y de esa manera actualizar el sitio y saber que todos los archivos están integros.
Si no puedes o no tienes respaldo, tienes que meterte a la base de datos y borrar datos en una tabla y borrar un archivo php que crea este ataque.
voy a seguir traduciendo cosas que encuentre sobre el tema.
Ivan Mejia
www.medioyforma.info
www.drupalmexico.com
Gracias
Gracias Koffer voy a revisar los enlaces, pues no se cual tabla borrar. El problema es el ingles y que al parecer es por medio de drush que no manejo. Lo que hice hasta ahora fue desde luego eliminar al usuario drupaldev, así como el rol generado y actualizar a la versión 7.32
Hasta ahora no se ha vuelto a crear el usuario drupaldev y todo parece estar normal, pero tratare de revisar las tablas para eliminar las que tengan el problema.
Gracias y pues a aprender de las malas experiencias. puff
revisa esta liga
Esta liga tiene una manera de remover
http://www.zoubi.me/blog/drupageddon-updating-drupal-732-not-enough-your...
Es bien importante que no te quedes en borrar el usuario y el rol, por que el hackeo también coloca un archivo php dentro de la instalación, en esa liga que pongo te explica como entrar a phpmyadmin y revisar la tabla donde te indica que archivo creo.
Ivan Mejia
www.medioyforma.info
www.drupalmexico.com
Gracias
Gracias Koffer voy a revisar los enlaces, pues no se cual tabla borrar. El problema es el ingles y que al parecer es por medio de drush que no manejo. Lo que hice hasta ahora fue desde luego eliminar al usuario drupaldev, así como el rol generado y actualizar a la versión 7.32
Hasta ahora no se ha vuelto a crear el usuario drupaldev y todo parece estar normal, pero tratare de revisar las tablas para eliminar las que tengan el problema.
Gracias y pues a aprender de las malas experiencias. puff
Gracias de nuevo
Fijate que ya revise la base en phpmyadmin y efectivamente. hay muchas entradas con BLOB. Todo esto en menu_router_table ¿Debo eliminar todo lo que contenga BLOB en la base?
Gracias
algo mas
Eso si, he buscado file_put_contents y no hay nada con ese nombre. Puff, es que de phpmyadmin y de bases de datos tengo un gran desconocimiento. gracias de nuevo
Justo hoy se acaba de
Justo hoy se acaba de publicar otro aviso sobre el drupalgeddon:
https://www.drupal.org/PSA-2014-003
Recomendando que, si fuiste atacado, hagas lo siguiente:
Justo andaba traduciendo todo el reporte
Salio un anuncio de seguridad referente a la falta de actualización del sitio web a drupal 7.32 (#drupalgeddon).
se puede ver el original en:
https://www.drupal.org/PSA-2014-003
La traducción es:
Descripción
Este anuncio de servicio público es una continuación de SA-CORE-2014-005 - núcleo de Drupal - inyección SQL . Esto no es un anuncio de una nueva vulnerabilidad en Drupal.
Ataques automatizados comenzaron a comprometer sitios web con Drupal 7 que no fueron parcheados o actualizados a Drupal 7.32 a pocas horas del anuncio de la SA-CORE-2014-005 - núcleo de Drupal - inyección SQL .
Usted debe proceder bajo la suposición de que cada sitio web de Drupal 7 esta comprometido a no ser que se haya actualizado o parcheado antes del 15 de octubre, 23:00 UTC, 7 horas después del anuncio.
Simplemente actualización a Drupal 7.32 no eliminará puertas traseras.
Si usted no ha actualizado o aplicado este parche , hágalo inmediatamente, luego seguir leyendo este anuncio; la actualización a la versión 7.32 o aplicar el parche corrige la vulnerabilidad, pero no corrige un sitio web ya comprometido. Si usted encuentra que su sitio ya está parcheado pero no lo hizo, eso puede ser un síntoma de que el sitio esta comprometido - algunos ataques han aplicado el parche como una manera de garantizar que son el único atacante en el control del sitio.
Control de datos y daños
Los atacantes pueden haber copiado todos los datos fuera de su sitio y podrían utilizarla maliciosamente. Puede que no haya rastro del ataque.
Echa un vistazo a nuestra documentación de ayuda, "Su sitio Drupal hackeado, ¿y ahora qué"
Recuperación
Los atacantes pueden haber creado puntos de acceso para ellos (a veces llamado "puertas traseras") en la base de datos, código, directorio de archivos y otros lugares. Los atacantes podrían poner en peligro otros servicios en el servidor o escalar su acceso.
Remover puertas traseras de un sitio web comprometido es difícil porque no es posible tener la certeza se han encontrado todas.
El equipo de seguridad de Drupal recomienda que usted consulte con su proveedor de hosting. Si no actualizo Drupal p o no bloqueo los ataques de inyección SQL horas después del anuncio de 15 de octubre, 16:00 UTC, lo mejor es restaurar su sitio web por una copia de seguridad anterior al 15 de octubre 2014:
Mientras que la recuperación sin restaurar la copia de seguridad puede ser posible, esto no es recomendable porque las puertas traseras pueden ser extremadamente difíciles de encontrar. La recomendación es restaurar la copia de seguridad o reconstruir desde cero.
Para obtener más información, por favor consulte nuestra FAQ en SA-CORE-2014-005 .
Escrito por
Coordinado por
Contacto y más información
Hemos preparado un FAQ en esta versión. Lea más en FAQ en SA-CORE-2014-005 .
El equipo de seguridad de Drupal puede ser contactado en drupal.org oa través del formulario de contacto en https://www.drupal.org/contact .
Más información sobre el equipo de Drupal de Seguridad y sus políticas , la escritura de código seguro de Drupal , y la seguridad de su sitio .
Ivan Mejia
www.medioyforma.info
www.drupalmexico.com
Como recuperar usuario ADMIM
Buenos Dias
Tengo un sitio en Drupal que fue hackeado, la gente del hosting me ayudo a reestablecerlo, pero no tengo acceso con el usuario ADMIN..
Como puedo recuperar el pass del ADMIN, soy nuevo en Drupal, si tienen algun procedimiento detallado se lo agradezco
Gracias
Opción 1: Cambiar a pelo el
Opción 1:
Cambiar a pelo el email del admin en la base de datos y posteriormente hacer el proceso de recuperar contraseña.
Opción 2:
Comando drush:
drush upwd admin --password="newpassword"