image

Honderden Drupal-sites gehackt en gebruikt voor cryptomining

maandag 7 mei 2018, 13:35 door Redactie, 5 reacties

De afgelopen dagen zijn honderden ongepatchte Drupal-sites gehackt en gebruikt voor cryptomining. Het gaat onder andere om websites van de Amerikaanse overheid en dierentuin van San Diego. De aanvallers voegen een Coinhive-script aan de sites toe dat de browser van bezoekers cryptovaluta laat delven.

Onderzoeker Troy Mursch ontdekte het specifieke script op 348 Drupal-sites. Al deze websites hadden gemeen dat ze ongepatcht waren. Zowel in maart als in april werden twee zeer ernstige Drupal-lekken gepatcht waardoor aanvallers volledige controle over websites kunnen krijgen. Experts lieten eerder al weten dat alle ongepatchte websites in principe als gehackt moeten worden beschouwd.

Wereldwijd zijn er zo'n 1,2 miljoen Drupal-sites. Hoeveel daarvan nog steeds kwetsbaar of gehackt zijn is onbekend. De aanval die Mursch ontdekte is niet de enige. Eerder werden ook al andere aanvallen waargenomen waarbij gehackte Drupal-sites voor cryptomining werden ingezet. In het geval van de 348 gehackte websites bevinden de meeste zich in de Verenigde Staten, gevolgd door Frankrijk en Canada.

Reacties (5)
07-05-2018, 20:44 door Anoniem
Maar 4 .nl sites, relatief onbekende sites, valt mee.
07-05-2018, 21:49 door Anoniem
Misschien zullen kleine IT bedrijfjes ooit snappen dat statische websites als visitekaartjes voor klanten, geen databases en php nodig hebben. Het snelle geld weegt niet op tegen klanten die weglopen omdat het altijd-lekke CMS weer eens gehackt is.
08-05-2018, 06:15 door Krakatau
Door Anoniem: Misschien zullen kleine IT bedrijfjes ooit snappen dat statische websites als visitekaartjes voor klanten, geen databases en php nodig hebben. Het snelle geld weegt niet op tegen klanten die weglopen omdat het altijd-lekke CMS weer eens gehackt is.

Inderdaad! Heel vaak kan je beter gewoon een static site generator gebruiken, die een HTML-only site genereert. Dan heb je er geen omkijken meer naar.
08-05-2018, 14:44 door Anoniem
Door Krakatau:
Door Anoniem: Misschien zullen kleine IT bedrijfjes ooit snappen dat statische websites als visitekaartjes voor klanten, geen databases en php nodig hebben. Het snelle geld weegt niet op tegen klanten die weglopen omdat het altijd-lekke CMS weer eens gehackt is.

Inderdaad! Heel vaak kan je beter gewoon een static site generator gebruiken, die een HTML-only site genereert. Dan heb je er geen omkijken meer naar.

Ook die hebben onderhoud en security updates nodig. Ik snap dus niet echt wat je hier wilt impliceren.
09-05-2018, 15:54 door Krakatau - Bijgewerkt: 09-05-2018, 16:38
Door Anoniem:
Door Krakatau:
Door Anoniem: Misschien zullen kleine IT bedrijfjes ooit snappen dat statische websites als visitekaartjes voor klanten, geen databases en php nodig hebben. Het snelle geld weegt niet op tegen klanten die weglopen omdat het altijd-lekke CMS weer eens gehackt is.

Inderdaad! Heel vaak kan je beter gewoon een static site generator gebruiken, die een HTML-only site genereert. Dan heb je er geen omkijken meer naar.

Ook die hebben onderhoud en security updates nodig. Ik snap dus niet echt wat je hier wilt impliceren.

Begrijp je nu echt niet dat kale HTML en CSS veel minder onderhoud nodig heeft dan CMS + PHP + database? Als jij een CMS installeert dan moet jij dat onderhouden. Onderhoud aan host besturingssysteem, webserver, database en PHP hoef je waarschijnlijk niet zelf te doen, dat doet jouw hosting provider. Naar kale HTML + CSS heb jij dus inderdaad geen omkijken! Alleen wanneer er inhoudelijk iets wijzigt aan de site.

Hoe minder software in de stack zit, hoe minder onderhoud. Dat wil ik dus impliceren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.