Leider erneut Angriffe gegen Joomla / JCE

Aktuell laufen – mal wieder – Angriffe gegen Joomla, im speziellen gegen die verwundbare Komponente „com_jce“ („Joomla Content Editor“).

Dieser erlaubt durch unzureichende Eingaben-Validierung nicht nur den Upload von fremden Dateien durch Gäste, sondern auch das Umbenennen dieser hochgeladenen Dateien, um beispielsweise aus einer „.gif“-Datei eine „.php“-Datei zu machen.

Gelang es dem Angreifer, seinen Code erfolgreich zu platzieren, wird üblicherweise eine Remote Shell hochgeladen – der Angreifer hat spätestens dann die gleichen Rechte auf dem Server wie der reguläre (FTP-)Benutzer.

Betroffen sind alle Versionen des com_jce bis einschließlich 2.0.15!

Ein Angriffsversuch mit dem automatischen Exploit hinterlässt folgende Einträge im Access-Log des Webservers:

194.242.59.43 - - [05/Jan/2013:01:23:35 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 552 "-" "BOT/0.1 (BOT for JCE)"
194.242.59.43 - - [05/Jan/2013:01:23:35 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1 " 200 571 "-" "BOT/0.1 (BOT for JCE)"
194.242.59.43 - - [05/Jan/2013:01:23:53 +0100] "GET //images/stories/story.php HTTP/1.1" 404 487 "-" "BOT/0.1 (BOT for JCE)"

Erst wird geprüft, welche Version des JCE läuft. Anschließend erfolgt der Upload sowie die Prüfung, ob der Angriff erfolgreich war. In diesem Fall wurde die „story.php“ nicht gefunden, so dass der Angriff erfolglos blieb.

Zum Schluss noch der Aufruf, immer alle Module sowie auch das CMS selbst konstant aktuell zu halten! Die neuesten Versionen bringen nicht nur neue Funktionen, sondern beheben insbesondere die Sicherheitslücken der vorherigen Versionen!

Dieser Aufruf gilt nicht nur für Joomla und den JCE, sondern für alle Content Management Systeme wie Drupal, Typo3 oder WordPress!


Jahresrückblick 2012

Sehr geehrte Kunden,

Die Mär von Traffic-Flatrates

Viele Anbieter bieten in ihren Tarifen „Traffic: Flatrate“ an – wir nicht.