Drupal.org在黑客暴露密码数据后重置登录凭据

在黑客未经授权访问敏感用户数据后，Drupal.org网站上近100万个帐户的密码正在重置。

org是流行的开源内容管理平台的官方网站。Drupal协会执行董事Holly Ross在周三发表的一篇博文中称，该漏洞是一次攻击的结果，该攻击利用了未公开的第三方应用程序中的漏洞，而不是Drupal本身。黑客暴露了用户名、电子邮件地址、国家信息和加密哈希密码，尽管调查人员可能发现其他类型的信息被泄露。

罗斯写道：“恶意文件是通过该网站使用的第三方应用程序放到association.drupal.org服务器上的。”在安全审计期间发现文件后，我们关闭association.drupal.org网站，以缓解与文件相关的任何可能的持续安全问题。Drupal安全团队随后开始取证评估，发现用户帐户信息已通过此漏洞访问。”

没有迹象显示信用卡数据被截获。也没有证据表明对Drupal源代码或项目进行了任何未经授权的更改。

org管理员已经通过重建生产、登台和开发系统，并使用grsecurity（一组针对Linux操作系统的安全补丁）增强大多数服务器来做出回应。管理员还加强了Apache Web服务器应用程序的配置，并将防病毒扫描添加到他们的安全例程中。一些Dupal.org子网站，特别是那些内容较旧的子网站，已经转换为静态存档，因此以后无法更新。

Drupal.org帐户持有人将被要求通过访问此链接、输入用户名或电子邮件地址以及随后电子邮件中包含的链接来更改密码。罗斯还鼓励账户持有人在其他使用Drupal.org上相同或相似密码的网站上更改登录凭据。

Drupal.org存储的大多数密码都是经过盐析的，更重要的是，使用开源phpass应用程序多次通过加密散列函数。一些旧的密码没有被修改。如果Drupal工程师遵循了良好的实践，而且没有迹象表明他们没有这样做，那么重复的散列迭代将在很大程度上防止任何获得数据的人快速破解散列并公开生成它们的底层明文。（加密转换，在散列之前给每个密码附加唯一的字符，也很有用，尽管人们经常夸大它提供的保护。有关密码保护的更多信息，请参阅Ars特性剖析：破解程序如何搜索“qeadzcwrsfxv1331”之类的密码

罗斯没有确认被利用的第三方应用程序。考虑到Drupal.org使用了Apache，很有可能该网站受到了最近几周困扰至少20000个其他网站的同一次攻击。研究人员仍然不知道攻击者是如何在这些服务器上获得几乎不受限制的“根”访问权限的，但是同一个后门（通常被称为Linux/cdworked）最近也开始破坏运行在nginx和Lighttpd Web服务器上的站点。

黑客攻击突显出网站越来越容易受到严重恶意软件攻击。周二，有证据显示运行Ruby On Rails框架的服务器受到了威胁，成为僵尸网络的一部分。在这种情况下，攻击者正在利用1月初修补的一个极其严重的漏洞。

Drupal的头版说，有967545人在228个国家（说181种语言）使用这个平台。

◆来源：Ars Technica

◆本文版权归原作者所有，如有侵权请联系我们及时删除