WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!

Das Schließen der Sicherheitslücke, die am 15.10. bekannt gegeben wurde (SA-CORE-2014-005) sorgt nur dafür, daß niemand künftig die Lücke ausnutzen kann (gilt auch für Drupal 6, wenn DBTNG im Einsatz). Kluge Angreifer schließen wenn möglich selbst hinter sich diese Lücke! Also auch vorsicht, wenn nicht klar ist, wer die Lücke gepatcht hat!.
Da automatische Angriffe anscheinend nach 3 Stunden anfingen, begann danach auch das erhöhte Risiko.

Wenn die Sicherheitslücke schon vor dem Einspielen des Patches oder des Updates ausgenutzt wurde, hilft der Patch oder das Update nicht, um die Hintertüren (Backdoors) zu schließen, die evtl. von den Angreifern eingerichtet wurden!

Je nachdem welche Möglichkeiten ein Angreifer ausnutzen konnte, kann inzwischen der gesamte Server kompromittiert sein!

Das ist kein theoretisches Szenario! Viele Drupal-Systeme wurden nachweislich als infiltriert erkannt und es ist nicht unbedingt leicht zu erkennen, ob dies nicht passiert ist. Allerdings wurden und werden auch die automatischen Angriffe von vielen Drupal-Experten analysiert und die Erkenntnisse fließen z.B. in Analyse-Hilfen wie drupageddon (drush Erweiterung). Aber solche Werkzeuge können nur bekannte Massen-Angriffe analysieren. Individuelle und zudem sehr geschickte Angriffe könnten sehr gut versteckt sein, denn kluge Angreifer verwischen hinter sich ihre Spuren!

Alle verfügbaren Informationen, die inzwischen auf English publiziert wurden hier zu übersetzen, wäre sehr aufwendig. Es ist äußerst ratsam die internationale Diskussion zu verfolgen.

Wichtigster Einstieg ist die Mittwoch dazu veröffentlichte Nachricht: SA-CORE-2014-005 - Drupal core - SQL injection und dazugehörige FAQ.

Als nächstes sind folgende Blog-Beiträge hilfreich:

• Bevan Rudge: Your Drupal website has a backdoor inkl. ständig weiter entwickelte flowchart "How to recover".
• Greg Knaddison (Greggles): Your Drupal site got hacked. Now what?

Empfohlen wird nach Möglichkeit das Einspielen eines Updates aus der Zeit vor Bekanntwerden der Sicherheitslücke. Da auch der gesamte Server infiltriert worden sein kann, gilt das auch für diesen!
Wer kein komplettes Reset durchführen kann, sollte das System ganz genau analysieren, diverse Sicherheitsmaßnahmen ergreifen, wie z.B. das Ändern von Passwörtern (DB, Drupaluser usw.), aktive User-Sessions löschen usw. Und man sollte auch in der nächsten Zeit sehr misstrauisch sein und darauf achten, ob nicht vllt. eine schlafende Backdoor dann doch noch aktiviert wird.

Drupalcenter-Beträge mit weiteren Informationen:
News: Gefährliche Sicherheitslücke in Drupal 7: Dringend Patch einspielen oder auf Version 7.32 wechseln
Kommentar: "Vermeidet bitte eine trügerische Sicherheit"

Und News-Meldungen in den IT-Medien::

• http://www.heise.de/security/meldung/Drupal-Luecke-mit-dramatischen-Folg...
• http://t3n.de/news/drupal-kritische-luecke-575379/
• http://www.zdnet.com/drupal-warns-unless-you-patched-within-seven-hours-...