Drupal警告：未即時修補漏洞的網站很可能都已被駭

知名內容管理系統（CMS）Drupal在10月15日宣布，Drupal 7的資料庫抽象層API含有一個安全漏洞，允許駭客執行SQL注射攻擊，當時Drupal也同步釋出Drupal 7.32進行修補。不過，現在Drupal再度提出強烈警告指出，尚未修補該漏洞的 Drupal 7 網站都應該假設自己的網站已經受駭，並建議將網站回復到10月15日之前。

Drupal說，早在Drupal 7 漏洞公布的幾個小時之後便出現自動化的攻擊，不到48小時內就發現駭客已儘可能地嘗試攻擊所有的Drupal 7網站。具體來說，也就是在世界標準時間10月15日晚上11點以前(漏洞發布7小時之後）未修補者就必需假設已受到攻擊。

此一漏洞的危險性來自於Drupal是個受歡迎的內容管理平台，而且要攻擊該漏洞非常簡單，駭客只要利用簡單的HTTP請求即可取得Drupal網站的控制權，並於網站上執行任意程式，讓Drupal 7網站順理成章地成為駭客攻擊的首選。

Drupal表示，如果網站管理人員未能即時修補該漏洞，也未使用具備虛擬修補功能的網站防火牆，那麼都應該假設自己的網站已經被駭。

Drupal安全團隊呼籲，迄今尚未修補Drupal 7漏洞的網站應該要立即修補，然而，此一修補程式僅能修補該漏洞，並無法解決已被駭客入侵的問題，如果網站管理人員並未執行修補程式，但發現該漏洞已經被修補了，那很可能是網站已被入侵的徵兆，因為某些駭客會執行該修補程式以確保他們是唯一能控制該站的壞人。

因此，駭客可能已經在Drupal 7網站上植入後門，以利他們繼續存取該站的資料或程式碼，甚至藉機擴大權限。Drupal說，要清除被駭網站的後門並不容易，因為網站管理人員很難發現所有的後門，因此他們建議未在修補程式釋出後7小時內進行修補的Drupal 7網站將網站狀態回復到10月15日之前，然後再部署Drupal 7.32。

針對那些已被駭的網站，Drupal也提供了指南以引導用戶解決此事。（編譯/陳曉莉）

相關連結：Drupal安全通告；Drupal出現SQL Injection重大漏洞，呼籲立即更新！