趋势网(微博)讯：

特朗普家族被豁免永久禁止国税局审计  5中国人在泰遭4警察1平民绑架勒索  幼儿园回应2岁宝宝被老师坐断腿  

在黑客未经授权访问重要用户数据之后，约100万个Drupal.org网站的账户密码目前正在被重置。

Drupal.org是个流行的开源内容管理平台官方网站。Drupal协会的执行理事霍利・罗斯，在周三发表的博客中写道：漏洞的出现是因为黑客攻击了一个身份不明确的第三方应用程序的脆弱点，而不是攻击了Drupal.org网站本身。黑客公开了用户名、电子邮件地址，国家信息，以及加密的散列密码，而且调查者发现其他类型的信息可能也受到了牵连。

“黑客通过Drupal.org网站所使用的某个第三方应该用程序，将恶意文件放置在association.drupal.org的服务器上,”罗斯写到。”我们在安全审计过程中一发现此文件，就立刻关掉了association.drupal.org网站，以阻止任何可能正在发生的与此文件有关联的安全问题。接着，Drupal安全团队开始法定评估，但是发现用户账号信息通过此脆弱点，已经被非法侵入。

目前，信用 卡数据没有被拦截的迹象。也没有证据表明Drupal源代码和项目上的授权有所改变。

Drupal的管理员们已经作出回应，其方式是重建生产、过渡、发展系统和用grsecurity（内核补丁），一组Linux操作系统的安全补丁，以加强大多数服务器。管理员们还加固了Apache Web服务器应用程序的配置，并对他们的安全路径增加了杀毒扫描功能。Dupal.org的一些子网站，尤其是那些有旧内容的网站，已被转化成静态档案，所以它们在未来也不会被更新。

Drupal的开户人将被要求更改他们的密码，其更改过程为：先点击一个链接，进入自己的用户名或电子邮件地址，接着会收到一篇电子邮件，跟随邮件消息里的链接即可。罗斯也鼓励在Dupal.org的其他网站上用相同的或相似密码的开户人更改登录凭证。

Dupal.org存储的大多数密码既可以使用单向哈希存储，也可以用PHPass开源应用程序通过了加密的多次散列函数存储。一些老密码不是单向哈希存储的。如果Drupal的工程师进行过很好的实践，当然也没有证据说明他们没有过很好的实践，重复的散列迭代能很大程度上防止任何获得数据的者迅速破解散列值和暴露生成它们的基础明文。

罗斯没有识别使用的第三方应用程序。鉴于Drupal.org对Apache的使用，它很可能被相同的攻击所牵连，该攻击在最近的几周内已经困扰了至少20，000个其他的网站。研究者们仍旧不知道网站攻击者是如何毫无约束地获取信息的，root（具有系统所有权限）是在这些服务器上没错，但是后门程序，通常称为Linux或者Cdorked，最近也开始损害nginx和Lighttpd站点的网络服务器。

黑客们正在凸显出面对恶意软件攻击，网站的日益脆弱处。周二，证据表明,运行Ruby on Rails框架的服务器正在被破坏,使得部分网络瘫痪。攻击者在这种情况下利用一个极其关键的漏洞，即在一月初修补的一个补丁。

Drupal的首页显示着 228个国家使用181种语言的967，545位工作者在使用这个平台，其重要性可想而知。