Drupal hat heute im Bezug auf die „Drupageddon“-Lücke ein sog. Public Service Announcement verschickt.
Demnach muss jede Installation, die nicht binnen 7 Stunden nach Veröffentlichung des Sicherheitsupdates aktualisiert wurde, als „gehacked“ angesehen werden:
Automated attacks began compromising Drupal 7 websites that were not patched or updated to Drupal 7.32 within hours of the announcement of SA-CORE-2014-005 – Drupal core – SQL injection. You should proceed under the assumption that every Drupal 7 website was compromised unless updated or patched before Oct 15th, 11pm UTC, that is 7 hours after the announcement.
An dieser Stelle erneut der Hinweis an alle Kunden, ihre Webseiten regelmäßig zu aktualisieren! Die vom Hersteller veröffentlichten Updates kommen nicht von ohne 🙂
Nachdem nicht damit gerechnet werden kann, dass die Angriffe gegen ungeschützte Drupal7-Installationen plötzlich enden, werden wir auch weiterhin alle ungeschützten Installationen sperren bzw. gesperrt belassen.
Dies ist keine Schikane unsererseits, sondern ein Schutz sowohl unserer Infrastruktur als auch Ihrer Drupal-Webseiten: gesperrte Webseiten können nicht mehr das Ziel von Angriffen werden.
Gerne stehen wir natürlich bei weiteren Fragen zur Verfügung.
