Joomla-Tipps.net

Reply #87 on: Today at 01:21:20 PM
Heute Morgen (GMT+2) wurde shop.joomla.org kompromittiert. Wir begegneten diesem, indem wir innerhalb von 40 Minuten einige Defaulteinstellungen auf den Servern wiederherstellten. Zu Kontrollzwecken wurde die Seite in den Wartungsmodus gesetzt. Eine Stunde später wurde die Hauptseite (joomla.org) ebenso angegriffen (shop.joomla.org und www.joomla.org sind auf dem gleichen Server installiert).
Wir untersuchten dies in den Logfiles, was bei einer Größe von mehreren Hundert Megabyte sehr langwierig ist. Wir entschlossen uns, die aktuelle Seite vom Netz zu nehmen und sie durch ein HTML-File zu ersetzen, um den Vorfall weiter untersuchen zu können. Während das Restore der Originalseite läuft, ist dies der aktuelle Status.

Wir analysieren derzeit die sehr großen Logfiles und versuchen den Grund für die Kompromittierung herauszufinden. Dies ist keine leichte Aufgabe. Sobald wir mehr Informationen haben, teilen wir diese der Community mit. ....
willebil (aka)
Joomla! Core Team member - Development Workgroup Coordinator

Reply #111 on: Today at 03:31:44 PM
.... Ich weiß nicht, ob es einen Zusammenhang zwischen dem Shop und der Hauptseite gibt, die später gehackt wurde. Im Moment untersuchen einige wenige die Log-Files usw. Aber wie Du weißt: Das Core Team ist über den gesamten Globus verstreut und einige sind im Moment einfach nicht verfügbar. Ich kann nicht sagen, ob und wann mehr Details über den Vorfall gepostet werden.

Robin (aka RobInk)

Reply #169 on: Today at 05:16:34 AM
Wir haben einen der joomla.org Server offline genommen, so daß wir eine grüdliche Analyse durchführen können, um die Art der Kompromittierung festzustellen. Ich bin glücklich, nach mehreren Stunden mit Untersuchungen sagen zu können, daß es es anscheinend nicht mit dem Joomla! Core zu tun hat. Wir werden in Kürze im Forum weitere Details bekannt geben und wir hoffen, daß wir den Rest der joomla.org Seiten so schnell wie möglich wieder online bringen können. Ich bedanke mich bei Euch für die Geduld und das Interesse.

on: Today at 05:36:11 AM

Diesen Morgen schliefen Rob und ich in einem Hotel in Omaha, Nebraska. Wir befanden uns auf dem Rückweg zu Rob’s Elternhaus, um uns dort einige Tage aufzuhalten und dann weiter nach New Orleans zu fahren. Gegen 8 Uhr morgens erhielten wir beide über unser Handy eine SMS mit der Nachricht 'Joomla.org hacked'. Rob wurde hellwach und loggte sich sofort ein, um Kontakt mit den Leuten aufzunehmen, die sich mit der Situation bereits befassten. Unglücklicherweise mussten wir uns wieder auf den Weg machen, der Zeitrahmen für die nächsten Tage war sehr eng gesteckt.

Die Logs wurden gesichert und ein Restore der Seiten gefahren. Dies stellte sich als Fehler heraus, weil wir nicht genau analysiert hatten, wie alles geschehen konnte. Dieses ganze Debakel konnte nicht schlimmer kommen, weil das komplette Team offline war, um sich um Familienangelegenheiten o.a. zu kümmern.

Wie einige von Euch wissen, wurden später am Tag mehrere Seiten von uns wieder 'defaced'. Wieder war niemand erreichbar. So wurde ein Zustand erreicht, der so nicht hätte entstehen dürfen. Nach 13 Stunden Fahrt erreichten wir dann Rob‘s Elternhaus. Gegen 01:00 loggten wir uns ein und stellten fest, daß wieder Seiten 'defaced' worden waren, die 'Ka... war am dampfen'.

Nachdem wir bemerkt hatten, daß die Seiten immer noch verändert wurden, nahmen wir die Server offline und untersuchten sofort die Logs und das Dateisystem.

Die Angreifer hatten jede Seite auf einem unserer Server kompromittiert. Dies betraf die Hauptseite, die Developer Seite, die Help Seite und schließlich die Shopseite. Wir fanden Cracker 'shell files' im Dateisystem der Shopseite. Diese Dateien waren per 'Remote File Inclusion' eingeschleust worden. Das übliche Verfahren hierfür ist ein Angriff auf die Seite mit einer Anfrage, welche die Variable $mosConfig_absolute_path verändert.

Da wir unsere Webseiten üblicherweise sehr sorgfältig absichern, war es für uns schwer vorstellbar, wie dies hatte geschehen können. Vor wenigen Wochen gab es einen Vorfall mit einer 1.5 Demoseite, die auf einer alten Joomla! 1.5 Beta2 lief. Dies wurde aber behoben, so waren wir sicher, dass es nicht daran liegen konnte. Nach gründlicher Analyse der Logs der Shopseite fanden wir wie erwartet eine Menge von 'Remote file inclusion' Zugriffen.

So wie es aussieht, wurden wir heute mit heruntergelassener Hose erwischt.

Auf einer Seite war die Register_globals-Emulation auf 'on' gestellt. Auch gab es eine Seite, wo die .htaccess Datei fehlte und viel wichtiger: Diese Seite war für eine 'remote file inclusion' verwundbar! Die Joomla! Shopseite benutzt eine spezifische Komponente (com_mojo), welche den Kontakt zu 'print mojo' herstellt. Diese managt den Online Shop für uns. Die Print Mojo Komponente war verwundbar.

Wir gehen nun einen Schritt nach dem anderen vor und gehen dabei sicher, daß jede Seite so sicher wie möglich ist, bevor diese wieder online geht. Die Shopseite wird offline bleiben bis die Sicherheit wieder hergestellt ist.

Ich bedanke mich bei Euch für Eure Geduld. Dies war ein langer und harter Tag für uns. Ich habe großes Verständnis für die Sorgen, die Ihr Euch gemacht haben müsst.

Nur für die Akten:
Die Verwundbarkeit, welche das Problem ausgelöst hat, war NICHT Bestandteil des Joomla! Core oder einer Third Party Komponente!

Soweit ich weiß, wurde die Shopkomponente niemals veröffentlicht (dies ist auch gut so).

Es hatte auch nicht mit unserem Provider zu tun. Vielmehr war dieser sehr verständnisvoll und hilfsbereit während dieses Prozesses. "The entirety of any blame rests squarely on the shoulders of the entire Joomla! core team."

louis.landry (Development Workgroup)