安全研究人员报告，攻击者正利用一个已修复的 Drupal 高危漏洞入侵网站植入挖矿脚本用访问者的计算机挖掘数字货币。被入侵的网站属于联想、UCLA 和美国全国劳资关系委员会等企业、大学和机构所有。

美国网站最多，其次是法国、加拿大、德国和俄罗斯。攻击者利用的是今年三月公布的被称为 Drupalgeddon2 的 Drupal 内容管理系统高危漏洞，植入的 JavaScript 文件托管在 vuuwd.com 上，挖矿脚本会使用访问者计算机 80% 的 CPU 资源挖掘门罗币。

安全研究员建议使用 Drupal 的网站尽可能快的更新到最新版本。

来源：solidot