原标题:研究发现还有约10万Drupal网站未更新,可能成为挖矿乐园
内容管理系统Drupal在2018年3月爆出代号为CVE-2018-7600的客户端程式码执行漏洞Drupalgeddon△2,虽然官方已经释出修正版本,但是根据研究,还有超过10万个Drupal网站没有更新,其中许多已经被入侵且植入恶意挖矿程式,不乏许多知名网站或是政府机构网页。
资安研究员Troy△Mursch使用程式码搜寻引擎PublicWWW找到约50万个使用Drupal△7的网站,经过他对这些网站进行扫描后,发现有115,070个使用容易被攻击的老旧Drupal版本,134,447个网站没有漏洞,而有225,056个网站无法确定Drupal版本。Troy△Mursch提到,Drupal版本至少要到7.58才不会受到Drupalgeddon△2漏洞影响。
Drupal安全小组则认为,Troy△Mursch的研究方法存在问题,因为他判别Drupal版本是根据网站上公开的CHANGELOG.txt,但可能在这115,070被Troy△Mursch认为容易受攻击的网站,已经做了相对应用的措施。对此Troy△Mursch回应,要尝试入侵50万个网站绝对是非法的行为,因此他无法采取更进一步的方法,来证明这些网站都是易受入侵的,而他也认为,这115,070个网站使用过时的Drupal版本,本来就非维护网站安全的最佳实践。
另外,也不是只有Troy△Mursch在研究Drupal过期版本的漏洞议题,资安厂商Malwarebytes△Labs也一直在关注Drupalgeddon△2漏洞被利用的情况。Malwarebytes△Labs以网络装置搜寻引擎搭配PublicWWW,对约8万网站进行扫描,发现其中有约有900个网站确定受到入侵。大部分这些网站都托管在AWS等云端环境,有许多都处在测试阶段,虽然没有对公众公开,但也没有更新或是删除。另外,也有其他部分网站使用其他语言或是用途,但所有受害网站的交集就是过期的Drupal。
Malwarebytes△Labs在客户端发现的恶意软件,其中有81%都是网页挖矿程式,12.3%是假更新,剩下6.7%是技术诈骗。Malwarebytes△Labs直指,2017年秋天是恶意挖矿行为最猖獗的时候,在2018年初已经有减缓的趋势,是Drupal的漏洞重新燃起了这个趋势。该公司提到,很明显加密货币采矿是现在恶意注入攻击首选,有许多公开以及私有的API让这个攻击变得容易,而且他们正被大量恶意的使用中。
受漏洞影响的网站会随着时间增加,Malwarebytes△Labs认为,CMS的漏洞修补仍然是个问题,潜在的受害网站数量的成长从来没有停止。根据他们对8万个网站的调查,还有三分之一的网站使用Drupal△7.3.x,而这是2015年8月释出版本,加总7.2、7.3以及7.4这些容易受Drupalgeddon△2漏洞影响的网站数量,超过整体的一半。
相关:
图片来源: FTC 美国联邦交易委员会(Federal△Trade△Commission,FTC)周四(6/7)宣布开始受理挖矿绑架案件的投诉,并欢迎民众检举。FTC表示,骇客把使用者的电脑当成是自己的虚拟提款机,利用使用者装置的处理器资
基因族谱网站 MyHertage 被入侵 9,200 万笔资料被盗 | 香港 UNWIRE.HK 玩生活.乐科技
近年,有不少网站为用家提供寻根服务,用家只需网上预订基因检测工具,进进行简单测试就能找到其他亲人。当中,提供这类服务的以色列网站 MyHertage 近日遭受黑客攻击,声称共有 9,200 万笔资料被外泄,幸好只有帐户
以色列家谱网站MyHeritage外泄逾9,200万名用户资料
图片来源: MyHeritage 以色列家谱网站MyHeritage于周一(6/4)表示,该站逾9,200万名用户的资料已流落在外,包含用户的电子邮件位址与杂凑密码,资料外泄的日期为去年的10月26日,该站也呼吁在此之前注册的用户应该要
成人网站式设计变成毕业纪念册?台湾学生显创意 | 香港 UNWIRE.HK 玩生活.乐科技
大学是创意的摇篮,而近日有台湾学生就以独特的创意及幽默感,为自己的学系设计出一款“别出心裁”的毕业纪念册版面,更上载至网上论坛,吸引大批网民留言。这个“电子科hub”参照成人网站 Pornhub 的页面设计,从按
网站更新有 Bug!Android 平板官网回归 | 香港 UNWIRE.HK 玩生活.乐科技
日前我们报道过 Google 修改了 Android 官方网站,将原本在 Wear 和 TV 中间的 Tablet 栏目移除,让人怀疑 Google 是否决定将 Android 平板中产品名单中剔除。有不少外国网站认为 Google 此举是打算以 Chromebook 平