Início » Internet » Falhas no Drupal são divulgadas e centenas de sites passam a ser usados para minerar criptomoedas

Falhas no Drupal são divulgadas e centenas de sites passam a ser usados para minerar criptomoedas

Victor Hugo Silva Por

Nas últimas semanas, mais de um milhão de sites ficaram expostos a duas graves falhas de segurança do Drupal. As páginas tiveram que realizar uma atualização o quanto antes para correrem menos riscos de serem atacadas, mas, como sempre, nem todas seguiram a recomendação.

Isso logo abriu espaço para a criação de campanhas maliciosas com o objetivo de implantar malware nos sites e minerar criptomoedas ilegalmente. Entre as vítimas dos ataques, estão os sites da National Labor Relations Board (agência americana reguladora do trabalho), da Universidade de Aleppo e até mesmo da Lenovo.

De acordo com o BleepingComputer, dois ataques foram identificados na última semana. Um deles, descoberto por Troy Mursch, foi realizado por um grupo que obteve acesso a diversos sites feitos em Drupal.

Os cibercriminosos esconderam um arquivo do Coinhive, um script responsável por minerar a altcoin Minero com a ajuda da CPU do visitante. Ao menos 350 sites foram infectados por meio dessa estratégia.

Mursch disponibilizou uma planilha com os sites afetados, incluindo páginas de empresas e órgãos no Brasil, como D-Link, Estapar e Universidade Federal Rural de Pernambuco. Até a publicação desse post, os arquivos responsáveis pela mineração ainda estavam hospedados nos sites.

Um outro ataque já havia sido descoberto pela Imperva, uma empresa de cibersegurança. Ele foi batizado de “Kitty”, pois escondia nos sites o arquivo “me0w.js”. Neste caso, os cibercriminosos não usaram o Coinhive, mas, sim, um serviço de mineração legítimo oferecido pela própria Monero. O número de sites afetados por esse ataque não foi revelado.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Molinex

Ta aí uma distro que não usei...
Passei antes pelo freeba, e a experiencia com ele me desmotivou pra brincar com o Gentoo kkk
Mentira adoro FreeBSD e respeito o Gentoo. Só não tenho mais idade kkk

O mano do tableless.com.br trabalhou lá na globo. Ele poderia tirar essa duvida kkk
Tenta um globo.com/wp-admin/
o que tem de site com a area de admin aberta pra web, não tá no jornal kkk

Sim cara, a conversa foi boa, desculpa qualquer coisa kkk

Molinex

Minha primeira linguagem de programação foi o PHP. E quando digo isso pra, por exemplo, um javeiro, ele possivelmente brincara, dizendo que PHP é uma porcaria...

Minha resposta nesses casos, é que o PHP, é o que faz a web. Se pegar o facebook, a wikipedia (e outras wikis que usam o media wiki), e todos os blogs e projetos feitos em wordpress, não sobram muitos sites que são feitos em outras linguagens kkk

O wordpress é realmente um projeto grande, importante, e muito usado. E talvez a isso se deva o grande numero de programas porcos que você vê...
As pessoas sabem, comprar um template, um plugin, customizar algumas coisas, vender o resultado, mas não estão realmente programando mais...

"Eu até comentei nos primeiros comentários, que só aceitava criar um CMS próprio para um cliente, caso ele aceitasse pagar o preço dele, pois um bom projeto exige muita grana para manter equipe.... "

É exatamente isso, que empresas que se propõem a oferecer soluções proprias fazem. Contratam quem ainda sabe programar, montam uma equipe pra criação, suporte, testes, analise. Entregam soluções customizadas, e de qualidade. Ou não sobrevivem

Régis Tomkiel

Compilei muito também ahahah
Minha distro preferida é o Gentoo, então imagina.
As alterações não são tão significativas, mas o ponto é que tirando o Kernel Libre o resto é muito parecido.
As modificações geralmente ficam mais nos níveis superiores, mas enfim o papo foi bom demais!
Tu se surpreenderia com o que "roda" com o Wordpress hoje em dia. Li que a Globo.com usava, mas não achei nada para comprovar e nos links não tem nada que ajude. Tá certo que os caras devem ter trocentos caches antes do conteúdo chegar no navegador, mas acho que não usam não....

Molinex

Tem os blobs, a galera da RH (projeto fedora), sobe o modulo do SE Linux no kernel que eles disponibilizam por padrão, e outras coisas mais, que variam de projeto para projeto...

Distros como o Gentoo, e o Arch, por exemplo, são distros que fornecem o kernel vanila, exatamente esse que esta no site, sem nenhuma modificação. Mas são exceção, e não regra.

Ou seja, a questão nem é compilar o kernel pra maquina. É o que as distros acrescentam, ou retiram, para que cada uma disponibilize um kernel, mais condizente com o projeto...

E olha que já perdi muito tempo da minha vida compilando kernel. Tanto de distros Linux, como o do FreeBSD, e não compilo um kernel hoje, nem que você me pague kkk

Régis Tomkiel

PS: Sobre o Kernel, na verdade as distribuições não fazem tanta modificação não, em alguns casos elas adicionam blobs binários só.
Ele é o maior exemplo que genérico funciona. Pode fazer um teste, baixe o Kernel do site e compile na sua máquina. Tu tens a opção de desativar o que não é para o seu hardware ou deixar tudo, como as distribuições fazem ;)

Régis Tomkiel

Molinex, para começo de conversa, meu primeiro comentário nem era para ser uma declaração de guerra CMS próprio vs CMS genéricos.
Eu entendi o teu ponto, pode ficar tranquilo, mas discordo da sua comparação e definição de genérico. Softwares costumam ser muito mais maleáveis e de fácil adaptação, como eu tentei de explicar.
Eu até comentei nos primeiros comentários, que só aceitava criar um CMS próprio para um cliente, caso ele aceitasse pagar o preço dele, pois um bom projeto exige muita grana para manter equipe....
O que estou querendo te mostrar desde o meu primeiro comentário, é que na MAIORIA das vezes, o código é ruim, defasado e uma constante reinvenção da roda. Aí, quando o cliente decide atualizar o projeto, descobre que ninguém dá suporte, que vai ficar caro e que o site está igual um queijo suíço....

Sou a favor de um CMS Open Source para a maioria dos projetos, até que a demanda exija algo realmente customizado.

Pode usar o Kernel Linux como exemplo.
Seria muito mais caro para os desenvolvedores do Android, criar um novo Kernel no curto espaço de tempo. A decisão foi utilizar um Kernel existente e no caso, apenas o Kernel, sem portar uma distribuição inteira.

Aí que entra o ponto que estou falando sobre ser genérico:
É preciso entender o projeto, cenário, recursos e se já não existe um projeto no GitHub fazendo exatamente o que você está pensando em fazer ahahah

PS: Link de 2013 com um infográfico do Wordpress:
https://marketpress.com/wp-...

Tem uns caras aí que até eu me surpreendi! :O

Molinex

Sim o @rgistomkiel:disqus me esclareceu isso, em algum lugar, aí para baixo ↓↓↓

Ainda bem. É bom quando a correção sai antes da falha ser divulgada. E melhor ainda seria, se fosse sempre assim, e esse fosse o padrão...

Danillo Nunes
Pior ainda, que a solução pra esse problema, vira em um patch quando a galera do drupal disponibilizar, e até lá, vou ter que ir enrolando o cara, pra ele não arrancar minha cabeça fora kkk

Na verdade, o patch saiu antes mesmo da falha se alastrar. A falha foi descoberta por um pesquisador de segurança de dentro do próprio projeto e só ficou pública quando saiu a correção.

Molinex

Mas é o que eu to tentando dizer desde o começo, e você tá fazendo o possivel pra não entender. Mais uma vez:
Se eu tenho um carro, compro uma roda de carro, se eu fabrico rodas pra carro, fabrico rodas pra carro.
Não existe uma roda generica que sirva pra todos os veiculos.

Um CMS generico, que pode ser usado pra fazer um blog, um e-commerce, um forum, etc... Não pode (pelo menos em teoria) ser tão bem otimizado, quanto um CMS feito sobre encomenda, para o seu negocio bem especifico.

Mesmo que eu pegue o wordpress, compre templates, instale plugins, e crie um produto ideal pra você, tem muita coisa nele que o seu projeto não usa, ou usará. Se eu escrevo a solução pensando no seu caso, escrevo o necessário para que seu sistema funcione bem, sem nada que infle o código...

O código fica mais enxuto, programadores conhecem o código 100% afinal, eles desenvolveram, fica mais facil de achar e corrigir bugs, e teremos algo otimizado pra um caso especifico...

Isso poderia ser feito com o wordpress?
Sim, mas além de conhecer a ferramenta, e saber como implementar, também é necessario, conhecer o código do wordpress 100%. Para poder enxugar o que não é necessario, e mesmo implementar um patch, no caso, de um problema como esse. Afinal o cliente não espera o wordpress, espera você. E você tem que ter a solução...

Concordo, geralmente projetos livres são, na maioria dos casos, muito melhores que projetos fechados. Pela forma como são desenvolvidos, e pela quantidade de pessoas envolvidas. Só que são projetos genericos.
Ou seja, é feito pra que cada um possa usar para o que quiser. Dessa forma se você quiser usar, vai ter que adaptar pro seu caso. Inclusive o Kernel Linux, o maior projeto livre do mundo, é um kernel generico. Quando você baixa ele lá do kernel.org, você adapta muito, pra coloca-lo na sua distribuição. É isso que o projeto Debian faz, a RedHat para cada solução deles, e principalmente a google. O kernel generico em sí, não rodaria no android como roda, sem muita adaptação...

Por fim, quanto tempo sera que dura, uma empresa que vende sisteminha porco, em hospedagem compartilhada?
É dificil, o minimo que uma empresa tem que ter, é um servidor, pra hospedar seus projetos...

Então, é bom conversar. Sempre é bom ouvir (no caso ler) ideias diferentes...

Régis Tomkiel

Cara, tinha esquecido de responder...
--
Não entendo em que ponto. Roda é roda, e uma roda especifica não serve pra todos os casos. E exatamente por pensar na necessidade do cliente, que cada caso deve ser estudado, de forma singular...
_
Neste ponto quero dizer simplesmente o seguinte:
A roda (solução para determinado problema) já foi feita muitas e muitas vezes. A tua "roda" pode ou não ser algo útil, na maioria das vezes é só mais uma "roda" torta, meio amassada...
Dito isso, fica mais claro o meu discurso, acredito.
Quando escolhemos uma roda de bike no carro, é diferente, significa que você não entende nem de bike, nem de carro. E novamente, independente da solução, está mal implementada.
Veja bem, sou desenvolvedor de Software Livre e Open Source, entusiasta e colaborador de vários projetos e comunidades. Tenho uma certa inclinação com esse pensamento e por isso olho torto para esses trocentos frameworks proprietários feitos nas coxas. Geralmente são pesados, feios e pouco funcionais. Claro, tem coisa boa sim.

Meu foco de estudo é justamente segurança e desempenho. É possível extrair desempenho extraordinário com Wordpress, mantendo o site seguro e praticamente impossível de ser invadido. Como?
Através de configurações que vão além do básico.
Some isso à facilidade de administração e temos um dos CMS mais interessantes da atualidade...

---
Se vi codigo ruim?
Também vi muito. Mas geralmente, quem produzia mal, ou produzia pouco, não dura muito tempo pra contar história...
---
Te falei que vendo hospedagem de sites? Então...

Meu ponto não é exatamente contra os CMS proprietários, longe disso. Minha birra é com os "sisteminhas" que nascem todos os dias e são mal feitos. Nestes casos, ou tu aumenta tua infra ou tua hospedagem te bloqueia. Faço isso com mais frequência que gostaria ahhaha

Mas cara, não to querendo criar nenhum atrito contigo, só debater sobre essas tretas de dev :D ahahah

Molinex

Não entendo em que ponto. Roda é roda, e uma roda especifica não serve pra todos os casos. E exatamente por pensar na necessidade do cliente, que cada caso deve ser estudado, de forma singular...
Como disse na primeira resposta, (vou até copiar e colar) em algumas situações, um CMS da comunidade, é indicado, e deve ser usado em determinados casos. Por questões da simplicidade do projeto, custos, manutenção, etc...
Ou seja, não tenho problema nenhum com essas ferramentas. Mas empregaria elas, em projetos especificos...
E é logico que, temos que conhecer a ferramenta que iremos usar, isso chega a ser absurdo de tão obvio...

Projetos abertos... Minha vida tecnologica nos ultimos 10 anos, é usar, participar, e contribuir, com softwares livres. Vai por mim, eu sei bem como a comunidade funciona, e acho que funciona maravilhosamente bem...
É claro que uma falha como essa, seria (ou sera) rapidamente solucionada...

Dito isso, o que você viu de programador fazendo código ruim por aí, eu devo ter visto de programadores bons, vi muito sistema que se fosse aberto, bateria de frente com os grandes que estão por aí, mas que empresas mantinham fechado. Se vi codigo ruim?
Também vi muito. Mas geralmente, quem produzia mal, ou produzia pouco, não dura muito tempo pra contar história...

Régis Tomkiel

Tua analogia com as rodas está bem equivocada e vai de encontro com o que falei sobre entender as necessidades do projeto. Um profissional bom deve entender no que está se metendo para recomendar uma solução adequada.
Também vejo equívocos na tua interpretação de contribuição. Se você vai trabalhar com algum CMS, logico que precisa saber sobre ele. No caso de correções, não necessariamente precisa depender da comunidade. O que não dá, é implementar algo sem saber.
Projetos abertos tendem à ser mais auditados, como exemplo, esses problemas de segurança do Drupal já foram solucionados. É importante lembrar que não existe sistema 100% seguro. Existem rotinas de segurança que ajudam bastante.
Volto à dizer, que a maioria das soluções "próprias" são elefantes brancos, rodas refeitas e que são invadidos todos os dias, sem repercussão alguma. Cansei de ver soluções porcas (sou desenvolvedor, tenho hospedagem e trabalhei em empresa como sysadmin).
Quer um exemplo legal?
WordPress, o CMS mais usado do mundo. A grande maioria de problemas de segurança estão relacionadas à administração dele, com falta de atualizações, uso de plugins piratas e etc. Isso que por si só, ele está longe de ser 100% seguro.
Sobre a qualidade do código, você está sendo idealista demais, ficando distante SA realidade do mercado. Acredite, tem muito código ruim, sem otimização fazendo "sucesso" por aí....

Molinex

Põe uma roda de bike no seu carro, e vamos ver se realmente funciona kkk

Mas o ponto nem é esse. Na verdade uma solução generica, não deve ser tão otimizada, quanto uma especifica. Pelo menos em teoria. Um exemplo mais correto seria um sobradinho germinado, que segue um padrão, ou uma casa desenhada, projeta e construida sobre medida pra você. Ambas servem de moradia, mas qual é mais otimizada?

Concordo, CMS como wordpress, drupal, joomla, magento, são softwares open source, e tem uma grande comunidade olhando por eles. Mas quando acontece um problema como esse, você tem que esperar por um patch da comunidade. E talvez, seu cliente não tenha paciência pra esperar...

Discordo, a menos que você seja freelancer, nunca sera uma equipe de um homem só, até uma start up pequena, possui uma equipe, suficiente para projetos que ela se dispõe a atender.
E mesmo se fosse uma equipe de um homem só, o wordpress foi criado por um homem só, o drupal também. E só depois a comunidade adotou esses projetos...

Concordo, segurança é o mais importante nesse ramo. Em um código meu, eu posso desenvolver a correção assim que a falha é descoberta. No codigo de terceiro, eu posso sugerir a correção, e tenho que esperar que os responsáveis, comitem ela. Ou não kkk

Discordo de novo. Numero de clientes realmente não é sinal de código bom. Mas sem código bom, você não consegue manter um grande numero de clientes...

Não importa quem tem mais chances, o Drupal teoricamente é bem escrito e esta aí minerando cripto moeda.
O que importa, é que se for invadido, quem vai responder por isso é você...

É você que vai ter que se virar, com um cliente P da vida, por descobrir que o site dele esta minerando criptomoeda, e esta sendo bloqueado por antivirus...
E é você que vai ter que resolver o problema dele o mais rápido possível. Sera que o cliente espera o drupal disponibilizar um patch?

Molinex

Exatamente...
E se der problema, tem que se virar nos trinta pra arrumar...

Fico imaginado um cliente P da vida, por descobrir que o site dele esta minerando criptomoeda, e esta sendo bloqueado por antivirus...

Pior ainda, que a solução pra esse problema, vira em um patch quando a galera do drupal disponibilizar, e até lá, vou ter que ir enrolando o cara, pra ele não arrancar minha cabeça fora kkk

CtbaBr©

Pois é... A ultima coisa que o cliente culpara é o sistema, o culpado sera quem vendeu, instalou e da suporte, o cliente só quer algo simples... "Que funcione com perfeição sem nunca dar problema"... O nome disso ou como funciona pouco importa!

Exibir mais comentários