這算是使用Drupal 9年以來,我碰過最嚴重的漏洞。因為漏洞是匿名使用者可以直接攻擊資料庫,在 Drupal.org 公佈這個安全漏洞後,等於是 0 Day 攻擊最好的時機。
沒想到後續還真的由 Drupal.org 發布「發現大規模的自動化攻擊」,只要在發佈時間7小時內沒升級 Drupal 7 或 Patch 漏洞,都可能被自動化工及掃到,進而埋藏後門。
更悲劇的是,因為後門可以輕易埋藏在資料庫(執行PHP)、程式碼(網站任何資料夾沒有做PHP執行防護)、系統資料夾(如果Server權限沒有設好,可以開新Script來Listen Port),因此最安全的方式,就是找回台北時間 10/16 早上 7:00 前的備份,進行網站程式碼及資料庫回復。
萬一沒有 Patch 並未在時間前套用,難道就完了嗎?好在有人把整起災害的損傷評估,製作了一張非常完整的流程圖: