黑客暴露密码数据后,Drupal . org重置登录凭据_皇家娱乐
最新资讯
皇家娱乐 > 最新资讯 > 黑客暴露密码数据后,Drupal . org重置登录凭据
黑客暴露密码数据后,Drupal . org重置登录凭据
时间: 2018-06-19 浏览次数:52
黑客获得对敏感用户数据的未经授权访问后,Drupal.org网站上近百万个帐户的密码正在重置。Drupal.org是流行的开源内容管理平台的官方网站。Drupal协会执...

黑客获得对敏感用户数据的未经授权访问后,Drupal . org网站上近百万个帐户的密码正在重置。

Drupal . org是流行的开源内容管理平台的官方网站。Drupal协会执行董事Holly Ross在周三发表的博客文章中说,这一漏洞是攻击的结果,攻击利用了一个未公开的第三方应用程序中的漏洞,而不是Drupal本身。黑客暴露了用户名、电子邮件地址、国家信息和密码散列密码,尽管调查人员可能会发现其他类型的信息被泄露。罗斯写道:

恶意文件通过该网站使用的第三方应用程序被放置在association . Drupal . org服务器上。在安全审核期间发现文件后,我们关闭了association . Drupal . org网站,以缓解与文件相关的任何可能的持续安全问题。Drupal安全团队随后开始进行取证评估,发现用户帐户信息是通过此漏洞访问的。

没有迹象表明信用卡数据被截获。也没有证据表明对Drupal源代码或项目进行了任何未经授权的更改。

Drupal . org管理员的回应是重建生产、转移和开发系统,并使用grsecurity增强大多数服务器,grsecurity是一套适用于Linux操作系统的安全修补程序。管理员还强化了Apache Web服务器应用程序的配置,并将防病毒扫描添加到安全例程中。有些dupal . org子网站,特别是那些内容较旧的子网站,已经转换为静态档案,因此将来无法更新。

Drupal . org帐户持有人将需要通过访问此链接、输入其用户名或电子邮件地址以及跟随随后的电子邮件中包含的链接来更改密码。罗斯还鼓励账户持有人在其他使用Drupal . org .

上使用相同或相似密码的网站上更改登录凭据。Drupal . org存储的大多数密码都经过了盐处理,更重要的是,使用开源phpass应用程序多次通过加密散列函数。有些旧密码没有加盐。如果Drupal工程师遵循好的实践——没有迹象表明他们没有遵循好的实践——那么重复的散列迭代将大大有助于防止任何获得数据的人快速破解散列并暴露生成散列的底层明文。(加密盐析也很有帮助,它在对每个密码进行哈希处理之前会在密码中添加唯一字符,尽管人们经常夸大它提供的保护。有关密码保护的更多信息,请参阅黑客的Ars功能剖析:黑客如何洗劫密码,如“qeadzcwrsfxv1331”。)

Ross没有识别被利用的第三方应用程序。考虑到Drupal . org对Apache的使用,这个网站可能会因为最近几周困扰至少两万个其他网站的攻击而受损。研究人员仍然不知道攻击者是如何在这些服务器上获得几乎不受约束的root访问权限的,但是通常被称为Linux / cdworked的同一个后门最近也开始危害运行在ngix和light tpd Web服务器上的站点。

黑客攻击凸显出网站越来越容易受到严重恶意软件攻击。周二,有证据显示运行Ruby on Rails框架的服务器遭到破坏,成为僵尸网络的一部分。这起案件的攻击者正在利用一个在1月初修补的极其严重的漏洞。Drupal首页指出,228个国家(说181种语言)有967,545人使用该平台。

Copyright © 2017 皇家娱乐 版权所有