我需要查看一个Drupal站点,以确定它是否因SA-CORE-2014-005(Drupageddon)漏洞而可能已被泄露。我有一套我打算遵循的程序,我从另一个网站获得:
- 使用Git状态检查文件的完整性,如果使用Hacked
则无法检查
- 扫描* .php,*。。和任何其他可疑文件的公共/私有文件位置。
- 检查网站上的文件所有权和权限
- 安装并运行Drupalgeddon模块
- 安装并运行安全审核模块
- 安装并运行Site Audit模块
- 查看MySQL和网络服务器日志
- 检查用户是否有“管理员”角色,以便他们不应该这样做。
- 检查角色以查找是否有任何更改权限,或者是否已创建任何新权限。
- 检查用户表中是否有可疑条目
- 检查menu_router表中是否有可疑条目
- 检查被覆盖的功能是否存在可疑更改
- 使用HTML输入过滤器查看可疑内容的任何内容。
- 查看变量表以查找任何可疑值
- 如果可能,从外部IP地址分析会话表以查看管理员/高级用户的登录情况并检查他们的上次登录日期
- 转储整个网站的HTML,例如使用一些爬虫,并使用grep获取链接中的其他参数
- 检查数据库是否有新的MySQL用户。
其中一个步骤是
转储整个网站HTML,例如使用一些爬虫,并使用grep获取链接中的其他参数
我计划使用wget -r -k -l0 website-uri转储网站。我不确定的是我在寻找什么样的东西?我怎么去贪图呢?是否有一些工具可以做到这一点?