我需要检查一个Drupal网站,以确定它是否可能因SA-CORE-2014-005(Drupageddon)漏洞而被攻击。我计划按照另一个网站提供的一组程序进行操作:
- 使用Git状态检查文件完整性或者使用Hacked检查
- 扫描公共/私有文件夹中的*.php、*.sh和任何其他可疑文件。
- 检查网站上的文件所有权和权限
- 安装并运行Drupalgeddon模块
- 安装并运行Security Review模块
- 安装并运行Site Audit模块
- 审核MySQL和Web服务器日志
- 查找是否存在非“管理员”角色的用户具有“管理员”角色
- 查找角色是否已更改权限或创建新角色
- 检查用户表中是否存在可疑条目
- 检查menu_router表中是否存在可疑条目
- 检查重载的特性是否存在可疑更改
- 审核使用HTML输入过滤器的任何内容以查找可疑内容
- 查看变量表以找到任何可疑值
- 如果可能,分析会话表以查看来自外部IP地址的管理员/高级用户的登录情况并检查他们的最后登录日期
- 转储整个网站HTML,例如使用某些爬虫,并在链接中查找其他参数
- 检查数据库是否有新的MySQL用户。
我打算使用转储整个网站HTML,例如使用某些爬虫,并在链接中查找其他参数
wget -r -k -l0 website-uri 转储此站点。我不确定需要寻找哪些内容?如何进行grep操作?是否有一些工具可以自动完成这些操作?