WordPress, Joomla und Freunde – des Hacker’s Lieblinge?
Heute Morgen aufgewacht, erster Blick auf’s Handy, 159 ungelesene Mails. Natürlich war ich gleich hellwach. Die Mails enthielten den Betreff „ErrorMessage“ mit der Mitteilung dass diverse Fehler auf unterschiedlichen, von uns entwickelten, Webseiten aufgetreten sind.
Tauchen bei unseren Web’s Fehler auf wird der zuständige Verantwortliche per Mail gleich informiert sowie das Logfile geschrieben. So haben wir die höchstmögliche Kontrolle über die Aktivitäten eines Internetauftrittes.
Die 159 Fehler bestanden aus zwei Arten:
- 1. Vesuch eines Pluginaufrufs
**** 25.10.2013 06:29:26 ****
Exception Type: System.Web.HttpException
Exception: A potentially dangerous Request.Path value was detected from the client (?).
Source: http://www.xyz.ch/i4Def.aspx?tabid=538&lang=de&itemid=163
/index.php?option=com_jce&task=plugin&plugin=
imgmanager&file=imgmanager&version=1576&cid=20
Stack Trace:
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig() at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context) - 2. Aufrufen eines PHP-Files: 0d4y.php
**** 25.10.2013 06:29:51 ****
Exception Type: System.Web.HttpException
Exception: A potentially dangerous Request.Path value was detected from the client (?).
Source: http://www.xyz.ch/i4Def.aspx?tabid=538&lang=de&itemid=163/images/stories/0d4y.php?rf
Stack Trace:
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig() at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)
Da wir in unseren Webs grundsätzlich nirgends PHP anwenden und die Fehlermeldungen innerhalb sehr kurzer Zeit hintereinander auftauchen, weist dies mit ziemlicher Sicherheit auf eine Hacker-Attacke hin.
Nach kurzer Internetrecherche ist herausgekommen, dass im JCE-Editor vom Joomla-CMS eine Sicherheitslücke im Imageeditor bestanden hat. Wir setzen kein Joomla ein, dafür haben wir unser eigenes CMS i4Portal, aber die Hacker versuchen es halt einfach. Wahrscheinlich klappt es sogar in 1 von 50 Fällen.
Hier dazu die offizielle, etwas ältere, Meldung von Joomla: http://www.joomla.de/news/5-sicherheitsluecke-im-jce-editor
Ich zitiere sehr gerne einen kurzen Abschnitt daraus:
„Die Schwachstelle und das Update wurde über unzählige Wege kommuniziert, zahlreiche User scheinen es aber mit der Sicherheit ihrer Seiten nicht so genau zu nehmen und verzichteten darauf den JCE, wie jede andere Erweiterung auf dem neuesten Stand zu halten.“
Hier liegt ein potentielles Problem von fix-fertigen CMS wie Typo3, WordPress und Joomla. Diese sind wunderbar einfach installiert, sehen auf den ersten Blick super aus und der Auftraggeber ist glücklich. Kompliziert wird’s aber mit der Wartung. Da viele Nutzer dieser Produkte Ihre Kompetenzen primär bei Inhalt und Design besitzen, werden technische Details, Webserver und sicherheitsrelevante Aktualisierungen oft einfach ausgeblendet. Und wurden gar Anpassungen ausserhalb der Standardfunktionalität umgesetzt, ist es für einen Nicht-Webentwickler eine Herausforderung grösserer Art, ein von der Community bereitgestelltes Update erfolgreich anzuwenden. Also wird oft auf Aktualisierungen ganz verzichtet – und die Webs sind weit offen für feindliche Übernahme durch Angreifer.
Im harmlosesten Fall werden Besucher der gehackten Kunden-Website dann, zum Beispiel wie im obigen Bild, vom Hacker begrüsst: Im Jahr 2011 haben sich Cyperkriminille den Zugriff auf die Datenbank der Entwickler-Plattform, vom Handy-Hersteller Nokia, verschafft. Bevor Nokia die Seite vom Netz genommen hatte, haben die Hacker die Webseite modifiziert und so ihren Fussabdruck zu hinterlassen.
Meistens werden gehackte Webserver aber Teile eines Bot-Netzwerks und versenden fleissig Spam, beteiligen sich an Phishing oder DDOS-Attacken und jubeln ahnungslosen Besuchern Malware unter. Oder ermöglichen über Offenlegung gespeicherter Daten weiterführende Schäden.