使用Drupal系统构建的网站遭遇大规模JS挖矿攻击

2018-05-23 17:22:52
腾讯御见威胁情报中心近日监测到,大批使用Drupal系统构建的网站遭到JS挖矿攻击。经分析,受攻击网站所使用的Drupal系统为存在CVE-2018-7600远程代码执行漏洞的较低版本。黑客利用Drupal系统漏洞可将混淆后的挖矿JS注入到网站代码中进行挖矿。

1、背景

腾讯御见威胁情报中心近日监测到,大批使用Drupal系统构建的网站遭到JS挖矿攻击。经分析,受攻击网站所使用的Drupal系统为存在CVE-2018-7600远程代码执行漏洞的较低版本。黑客利用Drupal系统漏洞可将混淆后的挖矿JS注入到网站代码中进行挖矿。

针对Drupal网站的挖矿攻击

CVE-2018-7600远程代码执行漏洞,影响Drupal 6,7,8等多个子版本。2018328日,Drupal Security Team针对该漏洞发布了修复方案。此次攻击中全球有30多个国家和地区的数万个网站受到潜在影响,在被攻击的网站中,互联网、教育、科技机构类的占比最高。

 

2、分析

1.     浏览器访问网站时挖矿代码执行


2.     网站源码被注入经过混淆的JS代码


3.     还原注入代码可以看到链接的JShxxp://vuuwd.com/t.js


4.     hxxp://vuuwd.com/t.js显示为coinhive挖矿代码


5.     挖矿代码控制CPU占用在80%左右


 

6.     分析发现,收到攻击的网站之间本身没有任何联系,但这些网站都使用了较低版本的Drupal系统。对受攻击的网站进行CMS检测,结果类型为Drupal


Drupal官方对Drupal版本7网站目录结构的说明,网站核心目录包括/includes/misc/modules等,网站自定义目录为/sites

 

发现的网站被注入的位置位于Drupal系统核心目录/misc


其他网站被注入文件大都为/misc/jquery.once.js?v=1.2


只有少量在/sites目录下


腾讯御见威胁情报中心对挖矿JS域名vuuwd.com查询DNS,可以看到该域名有历史记录通过CNAME解析(将域名映射到另一个域名)到门罗币挖矿域名pool.minexmr.com,可见作者在进行本次JS挖矿攻击之前,已经通过其他方式进行挖矿获利。


3、安全建议

网站被植入恶意JS挖矿代码后,所有访问该网站的浏览器会自动执行挖矿程序,从而占用用户电脑大量CPU资源导致电脑卡慢,甚至死机。此外,若不及时修复漏洞,黑客还将可能利用Drupal系统漏洞进一步控制网站甚至进行勒索攻击。对此,腾讯安全专家建议企业用户:

1.     使用腾讯企业安全“御知网络空间风险雷达”(检测地址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控,及时修复Web服务器网站系统安全漏洞。


2.    网站管理人员及时将网站的Drupal系统升级到高版本 ,或参考Drupal安全团队的官方说明(https://groups.drupal.org/security/faq-2018-002)进行风险评估和修复。

3.    推荐网站管理员使用腾讯云网站管家WAFhttps://cloud.tencent.com/product/waf),其具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统。

4、IOCs

http://vuuwd.com/t.js

162.222.213.236

SITE KEY

NApgnOcjBzLNCybG258355n0wQrqq3D4
部分网站:
 
最新资讯