Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite ›

WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!

Eingetragen von C_Logemann (832) am 31.10.2014 - 11:43 Uhr in
  • Drupal

Das Schließen der Sicherheitslücke, die am 15.10. bekannt gegeben wurde (SA-CORE-2014-005) sorgt nur dafür, daß niemand künftig die Lücke ausnutzen kann (gilt auch für Drupal 6, wenn DBTNG im Einsatz). Kluge Angreifer schließen wenn möglich selbst hinter sich diese Lücke! Also auch vorsicht, wenn nicht klar ist, wer die Lücke gepatcht hat!.
Da automatische Angriffe anscheinend nach 3 Stunden anfingen, begann danach auch das erhöhte Risiko.

Wenn die Sicherheitslücke schon vor dem Einspielen des Patches oder des Updates ausgenutzt wurde, hilft der Patch oder das Update nicht, um die Hintertüren (Backdoors) zu schließen, die evtl. von den Angreifern eingerichtet wurden!

Je nachdem welche Möglichkeiten ein Angreifer ausnutzen konnte, kann inzwischen der gesamte Server kompromittiert sein!

Das ist kein theoretisches Szenario! Viele Drupal-Systeme wurden nachweislich als infiltriert erkannt und es ist nicht unbedingt leicht zu erkennen, ob dies nicht passiert ist. Allerdings wurden und werden auch die automatischen Angriffe von vielen Drupal-Experten analysiert und die Erkenntnisse fließen z.B. in Analyse-Hilfen wie drupageddon (drush Erweiterung). Aber solche Werkzeuge können nur bekannte Massen-Angriffe analysieren. Individuelle und zudem sehr geschickte Angriffe könnten sehr gut versteckt sein, denn kluge Angreifer verwischen hinter sich ihre Spuren!

Alle verfügbaren Informationen, die inzwischen auf English publiziert wurden hier zu übersetzen, wäre sehr aufwendig. Es ist äußerst ratsam die internationale Diskussion zu verfolgen.

Wichtigster Einstieg ist die Mittwoch dazu veröffentlichte Nachricht: SA-CORE-2014-005 - Drupal core - SQL injection und dazugehörige FAQ.

Als nächstes sind folgende Blog-Beiträge hilfreich:

  • Bevan Rudge: Your Drupal website has a backdoor inkl. ständig weiter entwickelte flowchart "How to recover".
  • Greg Knaddison (Greggles): Your Drupal site got hacked. Now what?

Empfohlen wird nach Möglichkeit das Einspielen eines Updates aus der Zeit vor Bekanntwerden der Sicherheitslücke. Da auch der gesamte Server infiltriert worden sein kann, gilt das auch für diesen!
Wer kein komplettes Reset durchführen kann, sollte das System ganz genau analysieren, diverse Sicherheitsmaßnahmen ergreifen, wie z.B. das Ändern von Passwörtern (DB, Drupaluser usw.), aktive User-Sessions löschen usw. Und man sollte auch in der nächsten Zeit sehr misstrauisch sein und darauf achten, ob nicht vllt. eine schlafende Backdoor dann doch noch aktiviert wird.

Drupalcenter-Beträge mit weiteren Informationen:
News: Gefährliche Sicherheitslücke in Drupal 7: Dringend Patch einspielen oder auf Version 7.32 wechseln
Kommentar: "Vermeidet bitte eine trügerische Sicherheit"

Und News-Meldungen in den IT-Medien::

  • http://www.heise.de/security/meldung/Drupal-Luecke-mit-dramatischen-Folg...
  • http://t3n.de/news/drupal-kritische-luecke-575379/
  • http://www.zdnet.com/drupal-warns-unless-you-patched-within-seven-hours-...
  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • PHP 8.1 - Deprecated function: rtrim()
  • Preloader / Spnner entfernen Menu Link Modal-Modul
  • Schriftgröße standard einstellen
  • Drupal Website gestalten
  • MariaDB 10.6
  • Entity Reference - Title Felder werden als Link angezeigt
  • Tokens werden in Viev als Link angezeigt
  • [bug entdeckt & workaround gefunden] benutzerdefinierte Felder vom Userprofil tauchen ungefragt auch in den Forumtopics auf...
  • [gelöst] Mass contact Empfängerliste nach Taxonomy Term statt Rolle
  • Update V. 9.3.12 auf V. 9.4 mit Fehler: Modul mySQL fehlt. Bitte Hilfe.
  • Sprachpfad, in Drupal Korrekt einstellen, auch bei den Meta-Tags
  • Update von Drupal 9.3 auf 9.4 oder bei 9.3 bleiben
Weiter

Neue Kommentare

  • Danke fürs Feedback. Gut dass
    vor 2 Tagen 7 Stunden
  • Patch angewandt
    vor 2 Tagen 10 Stunden
  • core_version_requirement: ^8
    vor 4 Tagen 11 Stunden
  • core_version_requirement: ^8
    vor 4 Tagen 11 Stunden
  • ok. Wenn ich das mache
    vor 4 Tagen 11 Stunden
  • Bei gleichem Namen hat das
    vor 4 Tagen 12 Stunden
  • Sorry, dass ich mich hier
    vor 4 Tagen 12 Stunden
  • Habe Patch versucht
    vor 4 Tagen 19 Stunden
  • Hier wird ein Patsch
    vor 4 Tagen 21 Stunden
  • Mit Drupal geht das um 150
    vor 5 Tagen 8 Stunden

Statistik

Beiträge im Forum: 247866
Registrierte User: 19593

Neue User:

  • Davidsnins
  • kudes
  • Tkakah

» Alle User anzeigen

User nach Punkten sortiert:
wla9213
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 1 Gast online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association