使用Drupal系统构建的网站遭遇大规模JS挖矿攻击

1、背景

腾讯御见威胁情报中心近日监测到，大批使用Drupal系统构建的网站遭到JS挖矿攻击。经分析，受攻击网站所使用的Drupal系统为存在CVE-2018-7600远程代码执行漏洞的较低版本。黑客利用Drupal系统漏洞可将混淆后的挖矿JS注入到网站代码中进行挖矿。

针对Drupal网站的挖矿攻击

CVE-2018-7600远程代码执行漏洞，影响Drupal 6,7,8等多个子版本。2018年3月28日，Drupal Security Team针对该漏洞发布了修复方案。此次攻击中全球有30多个国家和地区的数万个网站受到潜在影响，在被攻击的网站中，互联网、教育、科技机构类的占比最高。

2、分析

1.     浏览器访问网站时挖矿代码执行

2.     网站源码被注入经过混淆的JS代码

3.     还原注入代码可以看到链接的JS：hxxp://vuuwd.com/t.js

4.     hxxp://vuuwd.com/t.js显示为coinhive挖矿代码

5.     挖矿代码控制CPU占用在80%左右

6.     分析发现，收到攻击的网站之间本身没有任何联系，但这些网站都使用了较低版本的Drupal系统。对受攻击的网站进行CMS检测，结果类型为Drupal

Drupal官方对Drupal版本7网站目录结构的说明，网站核心目录包括/includes、/misc、/modules等，网站自定义目录为/sites

发现的网站被注入的位置位于Drupal系统核心目录/misc

其他网站被注入文件大都为/misc/jquery.once.js?v=1.2

只有少量在/sites目录下

腾讯御见威胁情报中心对挖矿JS域名vuuwd.com查询DNS，可以看到该域名有历史记录通过CNAME解析（将域名映射到另一个域名）到门罗币挖矿域名pool.minexmr.com，可见作者在进行本次JS挖矿攻击之前，已经通过其他方式进行挖矿获利。

3、安全建议

网站被植入恶意JS挖矿代码后，所有访问该网站的浏览器会自动执行挖矿程序，从而占用用户电脑大量CPU资源导致电脑卡慢，甚至死机。此外，若不及时修复漏洞，黑客还将可能利用Drupal系统漏洞进一步控制网站甚至进行勒索攻击。对此，腾讯安全专家建议企业用户：

1.     使用腾讯企业安全“御知网络空间风险雷达”（检测地址：https://s.tencent.com/product/yuzhi/index.html）进行风险扫描和站点监控，及时修复Web服务器网站系统安全漏洞。

2.    网站管理人员及时将网站的Drupal系统升级到高版本 ,或参考Drupal安全团队的官方说明（https://groups.drupal.org/security/faq-2018-002）进行风险评估和修复。

3.    推荐网站管理员使用腾讯云网站管家WAF（https://cloud.tencent.com/product/waf），其具备Web入侵防护，0Day漏洞补丁修复等多纬度防御策略，可全面保护网站系统。

4、IOCs

http://vuuwd.com/t.js

162.222.213.236

SITE KEY：

NApgnOcjBzLNCybG258355n0wQrqq3D4

部分网站：