Am gestrigen Dienstag kam es zu einem Angriff auf die Webseite eines Kunden.
Das verwendete Joomla-CMS in Version 1.5 Beta 2 war anfällig für eine sog. Remote Command Injection, wodurch Angreifer einen Bot starteten, der sich mit einem IRC-Netzwerk verbunden hatte.
Durch Auffälligkeiten in der Prozessliste wurde der Angriff jedoch sofort sichtbar, wir haben diesen sofort unterbunden und die Sicherheitslücke geschlossen.
Nach Betreten des Channels, zu dem sich der Bot verbunden hat, waren dort bereits 16 andere angegriffene Server verbunden. Wir haben die entsprechenden Administratoren (soweit möglich) über den Hack informiert, teilweise wurden die Hinweise bereits berücksichtigt und die Sicherheitslücke geschlossen.
Durch die von eingesetzten Sicherheitstechniken suPHP sowie Suexec kam es zu keiner Gefährdung weiterer Kunden, die Datenbestände sind sicher.
Wir möchten ebenfalls darauf hinweisen, dass alle Kunden die von Ihnen eingesetzten CMS-Installationen immer in der aktuellsten Version vorhalten, um solchen Angreifern die Grundlage zu entziehen!
