Gefällt dir dieser Artikel?
Schnatterente
In allen Joomla-Versionen von 1.5 bis 3.4 klafft eine gefährliche Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Schadcode auszuführen.

Der Zero-Day-Exploit ist seit einigen Tagen bekannt und wird sehr aktiv eingesetzt, um Joomla-Webseiten anzugreifen. Mit dem Angriff lassen sich die Webseiten komplett übernehmen. Es besteht aber auch die Möglichkeit, den Zugriff auf den Webserver des Webseitenbetreibers anderweitig zu missbrauchen.
Wer eine Joomla-Webseite betreibt, sollte die Sicherheitslücke so schnell wie möglich mithilfe eines Hotfixes schließen.

Dies sei an dieser Stelle auch den Betreibern kleinerer Seiten mit wenigen Nutzern ausdrücklich geraten. Auch wenn eine Webseite nur geringe Zugriffszahlen und wenige Backlinks aufweist, kann sie durchaus ins Visier von Hackern geraten, da verwundbare Seiten in der Regel mithilfe passender Software automatisch gesucht werden. Auch der eigentliche Angriff läuft meist automatisiert ab, sodass innerhalb kürzester Zeit mehrere Tausend Webseiten verseucht werden können. Die Annahme, die eigene Webseite sei kein lukratives Angriffsziel ist also (immer) falsch.

Hotfixes: Die Lücke schließen

Die Ursache für das Sicherheitsproblem findet sich in der Datei
libraries/joomla/session/session.php

Wer Joomla 3.x benutzt, kann die Lücke stopfen, indem er seine Webseite einfach auf die aktuellste Joomla-Version updatet. Für ältere Joomla-Versionen gibt es keine offiziellen Updates mehr, aber inoffizielle Hotfixes, mit denen sich das Problem beheben lässt. Diese beinhalten eine aktualisierte Version der betroffenen session.php-Datei. Zum Schließen der Lücke muss man die alte Version einfach nur durch die neue ersetzen.

Die Hotfixes für Joomla 1.5 und Joomla 2.5 können hier heruntergeladen werden.

Serverlogs prüfen

Um sicherzugehen, dass man nicht bereits unbemerkt zum Opfer geworden ist, sollte man seine Zugriffslogs nach folgenden Inhalten durchsuchen:
  • Die ersten bekannten Angriffe auf Basis der genannten Lücke erfolgten über die IP-Adressen 146.0.72.83, 74.3.170.33 und 194.28.174.106. Tauchen Anfragen von diesen Hosts auf, sollte man auf jeden Fall genauer hinschauen.
  • Außerdem kann man nach den Zeichenketten "JDatabaseDriverMysqli" sowie "O:" (jeweils ohne die Anführungszeichen) suchen. Diese waren bei den durchgeführten Angriffen im User-Agent zu finden.


Da ich weiß, dass hier viele Entwickler und Administratoren mitlesen, der übliche Appell: Seid euch bitte eurer Verantwortung bewusst und prüft wo und bei wem ihr überall Joomla-Webseiten aufgesetzt habt. Informiert die Nutzer über das Problem oder stopft die Lücken direkt selbst. (Das ist am Ende des Tages weniger Arbeit, als wenn das Kind erst in den Brunnen gefallen ist.)
Danke, Martin.

Geschnatter

0 Kommentare, selbst mitschnattern
Diesen Beitrag hat noch niemand kommentiert. Möchtest du den Anfang machen ?