Die Sicherheitsforscher von Imperva warnen aktuell erneut vor einer Angriffswelle, die sich gegen auf dem weit verbreiteten Content-Management-System (CMS) Drupal basierende Internetseiten richtet. Übernahme von Drupal-Sites mit Drupalgeddon und Dirty Cow Die Angreifer versuchen dabei, Zugang zu einem Root-Konto des Webservers zu bekommen. Dann installieren sie einen SSH-Client, der ihnen dann in Zukunft jederzeit den Zugriff auf den Server mit Root-Rechten erlaubt. Der erste Versuch mit Drupalgeddon 2 Die Cyberkriminellen setzen dabei auf zwei schon länger bekannte Exploits und greifen Websites an, die noch eine veraltete Version von Drupal nutzen und nicht gegen Angriffe auf die schon vor über einem halben Jahr im März veröffentlichte Schwachstelle Drupalgeddon 2 geschützt sind. Wer vernünftige Wartung betrieben und alle Updates immer eingespielt hat, braucht sich wegen der aktuell laufenden Angriffswelle keine Gedanken machen. Wenn sie eine solche noch ungeschützte Seite finden, nutzen sie Drupalgeddon 2 als Startpunkt ihres Angriffs. Damit suchen die Hacker in der lokalen Drupal-Konfiguration nach den Anmeldedaten für die Datenbank. Der zweite Versuch mit Dirty Cow Finden sie dabei die Login-Daten für ein Root-Konto, versuchen sie, sich mit den gefundenen Zugangsdaten auch beim Webserver anzumelden. Wenn diese Methode nicht funktioniert, kommt Dirty Cow dann als zweiter Exploit zum Einsatz. Dirty Cow wurde schon 2016 zum ersten Mal beschrieben. [...]