Malware in uralter Joomla-Version

  • Moin,


    ich habe das hier gerade gelesen: https://www.heise.de/security/…-Deutschland-4086654.html

    Im vorletzten Absatz steht, dass die Malware über Joomla das System verseucht hat. Was der Artikel leider nicht erwähnt und auch erst weit unten im Kaspersky Artikel steht, dass es sich um eine Ururalt-Version von Joomla handelt, nämlich die 1.7.3 aus 2011.


    Meine Frage nun, da ich

    1. genug Mitarbeiter bei uns kenne die jeden Anhang sorglos öffnen und

    2. gerne möchte, dass aus der Unachsamkeit der Mitarbeiter unsere Infrastruktur keinen Schaden nimmt:


    Kann/Muss ich irgendwas tun, damit ich mit dem CMS abgesichert bin?

    Ja, Mitarbeiter sensibilisieren, keine Panik schieben, mein CMS aktuell halten, sind die Dinge, die bei mir ganz oben stehen. Mir geht es eher um den/die Server, auf denen Joomla läuft.

  • Ich persönlich bin bei einem joomlaoptimierten Hoster, der seinerseits für sichere Server sorgt. Wenn du selber den Server betreust, solltest du eventuell mal zu einem Server-Forum gehen. Ob da nun Joomla oder Typo3 oder normalsterbliches HTML drauf läuft - sicher muss es immer sein!

  • weit unten im Kaspersky Artikel steht, dass es sich um eine Ururalt-Version von Joomla handelt, nämlich die 1.7.3 aus 2011

    Das muss natürlich nichts bedeuten, aber mindestens eine der unter "Indicators Of Compromise" genannten Seiten ist HEUTE Joomla 3.8.8 und enthält die genannten Hacker-Shell-Scripts zugänglich. Weshalb ich bei Heise kurz vor Senden auf einen bösen Kommentar verzichtet habe.


    Kann nat. sein, dass das einfach so Leute sind, die meinen ein (zu spätes) Update könnte eingeschleuste Hacks außerhalb Core-Dateien entfernen. Oder sie selber, weil "der Schwager sich auch mit HTML auskennt" (Zitat aus einer gestrigen Kunden-Email nach Bekanntmachung meiner Putz-Preise ;-) )


    EDIT: Vielleicht ist das aber auch eine bewusst eingerichtete Phishingseite oder so was. Das ist ja dann richtig so (je nach Blickweise), wenn da die Scripts rumliegen.

  • Kann/Muss ich irgendwas tun, damit ich mit dem CMS abgesichert bin?

    M.M. nach geht es doch nicht nur um ein CMS, sondern um den kompletten Setup. Das beginnt beim Betriebs-/Operation-System und umfasst alle weiteren Komponenten, die für die Lauffähigkeit einer oder auch mehrerer Applikationen nötig sind. Eine verantwortungsvolle IT-Abteilung / Administration hat einen genauen Plan / Inventory welche Komponenten mit welchen Version miteinander können oder eben nicht können. Updates von Komponenten werden vor dem allgemeinen Roll-Out in einer seperaten Testumgebung auf fehlerfreies Interworking geprüft. Dabei wird eine völlig veralterte Komponente "auffallen", allein schon deshalb, weil andere Komponenten die für die Lauffähigkeit nötig sind, mittlerweile in wesentlich höheren Version vorliegen.

    Ohne eine derartige oder ähnlich geregelte Vorgehensweise sind Security-Probleme unausweichlich. Eine Joomla-Version aus 2011 wäre meiner Überzeugung nach damit nicht möglich.

  • Najo, heutzutage wird die IT in sehr vielen Betrieben outgesourced, und die Spezis schauen nur, ob das Linux und die gesamte Peripherie ala PHP, MySQL, Mailserver etc einigermassen aktuell und stabil ist, und kümmern sich nicht darum, welche Webanwendungen darauf laufen. Wenn da dann mal ein Einschlag vernommen wird (serverbelastende Spamschleuder oder tatsächlich mal wirklich gefährlicher Schadcode in Form eines Trojaners, oder das VBS Dingens) wird das einzelne "Web" einfach vom Netz genommen, die Domain zeigt dann ins nirgendwo, oder ist eben nicht erreichbar. Letztendlich sind alles nur Fachidioten, die auf verschiedenen Ebenen arbeiten.

  • Kann nat. sein, dass das einfach so Leute sind, die meinen ein (zu spätes) Update könnte eingeschleuste Hacks außerhalb Core-Dateien entfernen. Oder sie selber, weil "der Schwager sich auch mit HTML auskennt" (Zitat aus einer gestrigen Kunden-Email nach Bekanntmachung meiner Putz-Preise ;-) )

    Das kenne ich ebenfalls, evtl noch eine über mehrere Versionsgenerationen "gepflegte" Installation, die das Ausmaß mehrerer GB erreicht hat, und in der etliche Dateileichen bzw hoffnungslos veraltete Extensions herumschwimmen, sodass man sich als Spezi einen echten Plan machen muss. Oft ist alleine die Korrespondenz genau darüber so schwierig und zeitraubend, dass man sich immer wieder selbst fragt, ob das Gegenüber weiß, was genau da los ist. Laß' doch den Schwager machen... diese Konstellation ist zwar selten, aber kommt vor, und da habe ich spätestens dann keinen Bock mehr.

  • Vielen Dank für die Antworten!


    Da es viele Serverkonstellationen und viele verschiedene Ausgangsituationen gibt, habe ich mir schon gedacht, dass es keine Antwort gibt wie: du solltest jetzt dieses, jenes und welches tun. Aber vielleicht gibt es ein Workaround wie hier. Oder war es das wirklich vom Grundsatz? Kann ich per htaccess noch was steuern?

    Extensions teste ich erst lokal, bzw. auf einer Testseite, bevor sie live installiert wird, um genau diese Datei-/Extension-Leichen nicht zu haben. Wenn ich Extensions nicht mehr benötige fliegen sie runter.


    Vielleicht noch zum Hintergund unserer Server:

    Alle security Updates werden automatisch installiert. Keine Rückfrage oder manuelle Nachinstallation.


    Ja, ich glaube ich mache mich selber gerade kirre, aber lieber im Vorfeld, als das ich mit einer gehackten Webseite da stehe und richtig Streß bekomme.


    Die "Ich habe einen Kumpel und dessen Freund der kann das" - Menthalität mag ich ebenso wenig. Wenn ich etwas möchte mache ich es selbst oder lasse es jemanden machen, der sich da wirklich mit auskennt. vain