
Z początkiem nowego roku trafił się dość szczególny przypadek, a mianowicie zawirusowana strona internetowa oparta na Drupal 7. Wyjątkowość tego zdarzenia, wynika z rzadkości jego występowania, gdyż na palcach jednej ręki można zliczyć zgłaszane do Robofix incydenty związane z nieuprawnionym przejęciem kontroli nad witryną opartą o w/w CMS. Po części wynika to z tego, że Drupal pomimo wysokiej, bo trzeciej pozycji w rankingu najczęściej stosowanych systemów zarządzania treścią, pod względem ilości stron www napędzanych jego silnikiem, nadal pozostaje daleko w tyle w stosunku do stron działających na Wordpress i Joomla. Z drugiej strony wspomniana niezawodność tego systemu, wynika niewątpliwie również z jego architektury oraz polityki stosowanej przez zespół do spraw bezpieczeństwa.
Jak więc doszło do sytuacji, że Drupal został zainfekowany wirusem? Przyczyna była taka sama, jak w zdecydowanej większości przypadków zawirusowania stron, opartych o jakiekolwiek systemy CMS, a mianowicie zaniechanie przeprowadzania aktualizacji. Ten przypadek jest szczególny jeszcze z jednego powodu, oprócz tego, że wirus zagnieździł się na Drupalowej stronce, to w dodatku nie była ona aktualizowana przez rekordowy czas, bo aż 8 lat! Ten serwis był dość popularny, więc to cud, że przez tyle czasu nic złego się nie wydarzyło.
Czas na relację z tego w jakim stanie była w/w witryna w momencie naszego pierwszego kontaktu, opis tego co zastaliśmy na serwerze oraz z przebiegu usuwania wirusa ze strony internetowej.
Zgłoszenie było wyjątkowo krótkie, oto jego fragment: "Nasza strona internetowa nie działa od kilku dni, zamiast strony pojawia się błąd, a hosting twierdzi, że prawdopodobnie był przeprowadzony jakiś atak hakerski, witryna jest zainfekowana, nie mogą zająć się usunięciem wirusa i nie biorą za to odpowiedzialności".
Przy próbie wywołania strony w przeglądarce, użytkowników faktycznie witał komunikat Fatal error, ze wskazaniem pliku skórki, który jest przyczyną błędu. Po analizie tego pliku okazało się, że doklejony został do niego złośliwy kod, który powodował zaburzenia w działaniu strony. W późniejszym czasie okazało się, że plików zmodyfikowanych, bądź wygenerowanych przez wirusa jest dużo więcej.
Standardowo strona została przeniesiona i uruchomiona w odizolowanym, specjalnie przygotowanym środowisku. Skanery antywirusowe wykryły, że w strukturze witryny znajduje się bardzo dużo plików zmodyfikowanych przez wirusa PHP/Kryptik.BL, bądź też nowych plików, umieszczonych na serwerze w wyniku działania złośliwego kodu.
W kolejnym kroku strona została poddana procesowi dokładnego oczyszczania z wirusa, a następnie przeszła przez ścieżkę aktualizacji rdzenia systemu oraz modułów systemu. Wszystkie 18 modułów wykorzystywanych przez witrynę wymagało aktualizacji, w tym łatki do 15 modułów były oflagowane jako "Security update". O ile aktualizacja samego rdzenia Drupala nie wywołała większych problemów w działaniu strony (przypominam, że skok między wersjami obejmował czas 8 lat), to odświeżenie części tak długo nie aktualizowanych modułów, spowodowało wystąpienie błędów, które unieruchomiły stronę. Wymusiło to konieczność dostosowania strony do aktualnych wersji modułów, co też zostało wykonane.
Na koniec na stronie zostały wykonane standardowe czynności wzmacniające bezpieczeństwo oraz zaimplementowane zostały dodatkowe zabezpieczenia, które pomogą uchronić ten serwis od podobnych zdarzeń.