Was könnte passieren
Ich hatte eine persönliche Drupal-Site während Drupalgeddon gehackt, ein Exploit von ähnlichem Schweregrad (wenn auch von einem anderen Typ). In Bezug auf "Was könnte passieren" hat der Hacker in diesem Fall mehrere "Hintertür" -Dateien in meine Codebasis gestellt (ich wusste damals sehr wenig über die Entwicklung und hatte kein Git-Repository), von denen aus er Spam-E-Mails versenden konnte . Die betroffene Domain wurde in Spam-Filtern auf die schwarze Liste gesetzt, und es war ein großes Durcheinander, E-Mails von dieser Domain für die Monate senden zu können, die ich danach aufbewahrt hatte.
Da diese Sicherheitsanfälligkeit die Ausführung von Remotecode ermöglicht, könnte der Angreifer vermutlich Module installieren, um Phishing-Angriffe auszuführen, Befehle in der Befehlszeile mit php exec () auszuführen, Kennwörter zu stehlen und dadurch einen Großteil Ihres Servers zu gefährden. Der Schaden kann von etwas so Einfachem wie der Rekrutierung Ihres Computers als Spam-Engine oder Botnet-Knoten reichen. Wenn Sie vertrauliche Informationen haben, kann der Angreifer diese stehlen und entweder weiterverkaufen oder Sie erpressen, abhängig von den Informationen und den Motiven des Angreifers.
Wie Sie feststellen können, ob Sie gehackt wurden
In den meisten Fällen wird Ihre Website nicht unkenntlich gemacht. Wenn zwei Gruppen von 14-jährigen Script-Kiddies aufeinander losgehen, sehen Sie möglicherweise eine Site, die mit Goatse-Bildern (NSFW) unkenntlich gemacht ist. Wenn der Hacker jedoch nichts gegen Sie persönlich hat, wird er dies nicht tun. Das Ziel für den Hacker ist entweder Geld oder die Fähigkeit, Verbrechen mit dem Computer eines anderen zu begehen.
Vor diesem Hintergrund werden häufig neue Benutzer erstellt (insbesondere Administratorbenutzer). In den Protokollen wird möglicherweise eine bestimmte IP-Adresse angezeigt, die nur eine Art von (abnormaler) Anforderung sendet. Im Fall Drupalgeddon konnte ich es herausfinden, indem ich POST-Anfragen an eine PHP-Datei in meinem Zugriffsprotokoll sah.
Wenn Sie Ihre Site nicht sofort patchen können
Wenn Sie die Site jetzt nicht patchen können, würde ich empfehlen, den Apache / Nginx-Server zu kürzen, damit niemand auf Ihre Site gelangen kann. Oder lassen Sie den Server den gesamten Datenverkehr auf eine HTML-Seite leiten, auf der erklärt wird, dass Sie wegen Wartungsarbeiten nicht erreichbar sind. Dies wird auch als "harter Wartungsmodus" bezeichnet. In allen Fällen möchten Sie einem Besucher nicht erlauben, einen Versuch zu unternehmen, Drupal zu booten, bis Sie ein Upgrade oder einen Patch erhalten.
Wenn Sie daran denken, dass meine Website gehackt wurde, denken Sie daran, dass die ersten Drupalgeddon-Angriffe 7 Stunden nach der Veröffentlichung begannen und in Form eines Skripts Tausende von Websites automatisch gehackt wurden. Schnell bewegen!
Wenn Sie gehackt werden
Hoffentlich haben Sie ein Backup. In diesem Fall ist es am besten, "die gesamte Site aus dem Orbit zu entfernen" und mit einem neuen Server von vorne zu beginnen. Ich habe einmal eine manuelle DB- und Dateiprüfung durchgeführt, weil ich kein Git und keine regelmäßigen Backups eingerichtet hatte - es dauert sehr lange, aber wenn es passiert, atme tief ein und lerne Git und lerne, wie man ein richtige Backup-Umgebung. Wenn Sie ein Unternehmen und einen Kundenstandort haben, sagen Sie ihm die Wahrheit im Voraus. Sie werden sie wahrscheinlich verlieren, aber es ist besser, einen Kunden zu verlieren (Sie können neue bekommen) als Ihren Ruf.