Think in Drupal

最近有多个Drupal网站被黑了，其中一个症状，首次访问首页面，会跳转到别的页面，黑客页面。第二次访问正常。

这个极有隐蔽性，刚开始我还以为是浏览器点错了呢，因为后面就正常，后来检查，发现页面被注入JS代码。类似这样的代码：

将在2018年的4月25号，16:00 - 18:00 UTC， 标准时间，Drupal安全团队将会发布一个新的安全版本，这个安全更新，不属于Drupal的周期性的版本更新。对于所有的安全更新，Drupal安全团队，提醒您，第一时间更新代码。Drupal的安全更新，一经发布，里面的补丁所涉及的代码，就会被黑客利用，进而开发出来攻击Drupal网站的程序。这个过程可能会很快，几个小时，几天，黑客的渗透程序就会开发完毕。

4月25号, 2018 PSA-2018-003的安全更新，是对SA-CORE-2018-002后续改进升级。

对于7.x, 8.5.x的Drupal网站，只需要按照日常的更新即可，仅有安全代码更新，没有数据库的变更。

对于Drupal8.4.x的请，第一时间升级到8.4.8,尽快升级到8.5.3；对于Drupal8.3的用户，请第一时间升级到8.4.8，尽快升级到8.5.3.

对于Drupal6用户，请第一时间，升级到Drupal7.x的最新版本。

作者 老葛 亚艾元软件
Drupal6网站，
请您第一时间关闭网站，做好备份，让专业人员第一时间为您升级到Drupal7.

Drupal7网站，

请您第一时间升级到Drupal7的最新版本，目前为7.58两天之后，尽快升级到7.59。

升级步骤：
1， 下载Drupal7.58,解压缩。
2， 将Drupal7最新代码上传到你的网站根目录下面，替换即可。
3， 运行update.php
99.9%上述步骤没有问题。如果有问题，请第一时间联系专业人员。.

从代码里面我们可以看出，对于请求参数里面的#字符，这里添加了限制。Drupal的表单API，呈现数组里面的key都是以#开头的，对于以#开头的数据，Drupal以前默认未加过滤清理，导致黑客可以借助这里，植入代码。

Drupal7补丁地址

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

Drupal8补丁地址：

老葛，亚艾元软件
Drupal在2018年3月28日发布了一个安全更新补丁，同时提醒大家，以前的版本存在SA-CORE-2018-002号安全漏洞，这个漏洞是Drupal资深开发人员，芬兰的Jasper Mattsson率先发现，并协助Drupal核心团队修复的。在Drupal安全团队修正了这个漏洞以后，立即发布了安全升级版本。提醒所有Drupal用户尽快安全升级。
https://www.drupal.org/sa-core-2018-002
对于这个安全漏洞，我们当时第一时间做了检查，我核对了Drupal代码里面的补丁代码，对它有所了解，这个是由于Drupal的表单机制，#符号有特殊的含义。黑客可以借助于这个地方的弱点渗透过来。但是需要熟悉Drupal机制的人，才能黑过来。
两周过后，大概，Drupal社区团队，发布了后续的安全预计升级，提升了此前的安全等级。因为黑客市场上，已经有公开的攻击Drupal这个漏洞的代码了。