Joomla-Installationen erneut im Fokus von Angreifern

Wie einige unserer Kunden leider bereits leidvoll merken mussten, grassiert derzeit eine neue Welle von Kompromitierungsangriffen, welche auf bestimmte Sicherheitslücken in älteren Joomla-Installationen abzielt.

Im primären Fokus der Angreifer steht derzeit eine Schwachstelle innerhalb des Joomla Content Editors (JCE) respektive in dem dort verwendeten „imgmanager“ Plugin, welche durch den „susu“ bzw. „hmei7“ genannten Hack / Exploit ausgenutzt werden kann. Meist werden anschließend Dateien des Angreifers (z.B. PHP-Shells) angelegt.

Die angelegten Dateien können dann durch den Angreifer gezielt aufgerufen und für weiteren Missbrauch verwendet werden. Beispiele hierfür sind u. a. Massenspamversand, Accountdatenlöschung, Anfertigen von Kopien der Accountdaten, sowie Kompromittierung der Accountdaten um aktiv HTML/Javascript und IFrame-Trojaner zu verbreiten.

Ein Update, sowohl von Joomla auf die jeweils neuste Version der Release-Reihe (1.5.x, 2.5.x, 3.x etc.) sowie auch das Update aller Plugins (im speziellen die Version 2.3.1 der JCE Erweiterung), ist dringend anzuraten.

Als alternative zum JCE Editor raten wir zur Deaktivierung / De-Installation der Erweiterung sowie der Nutzung des Joomla internen Editors TinyMCE.

Umfangreiche, wenn auch englischsprachige, Informationen zu diesem Hack sowie Ansätze zur Bereinigung finden Sie auf der folgenden Seite:

Zudem wird u. A. folgende Joomla-Erweiterung in der Community als sehr sinnvoll genannt, um viele Angriffe bereits im Vorfeld zu unterbinden:

  • http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/8384

Die Bereinigung einer infizierten Installation ist, auch für versierte Nutzer, mit viel Aufwand verbunden und nicht immer mit vollumfänglichen Erfolg möglich.

Wir empfehlen daher generell, sich um eine dauerhafte Pflege der Installation inkl. aller eingesetzten Zusatzmodule zu bemühen und im Zweifel den Kontakt zu einer versierten und auf die Anwendung spezialisierte Agentur zu suchen.

Gerne steht Ihnen auch das Power-Netz Team im Fall von Rückfragen oder bei einer Kompromittierung Ihres Accounts zur Verfügung. Wenden Sie sich in diesem Fall gerne jederzeit telefonisch oder per E-Mail an uns.

Dieser Beitrag wurde unter Allgemein, Technik abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.