Mountain Prophet

..am gehackten Server. Und das ist noch freundlich ausgedrückt. Inzwischen bin ich mir 99.9% sicher, dass mein Hackerfreund “TurkishHacker hacked” eine Joomla CMS Installation einer Partneragentur auf einem unserer Server benutzt hatte, um diesen Server erst mal wieder zum virtuellen Boxenstop zu bringen. Unser lieber Partner geht nämlich nach dem Motto vor: einmal installiert, nie mehr aktualisiert. Sicherheitsfixes sind für Warmduscher und sichere Passwörter sind Passwörter mit möglichst wenigen Buchstaben weil so sicher zu merken.

So kam es dann auch, das eine Joomla Version 1.0.5 sich auf dem Server austobte, in einer Zeit in der die Liste der Joomla Sicherheitslöcher der aktuellen 1.0.10 Version, also nur wenige 5 Releases später, alleine schon den halben Bildschirm bei Secunia einnimmt. In diesem Hinblick nur war es dann nur noch wenig überraschend, dass das SuperUser Passwort einer seiner Kundeninstallationen schlicht und ergreifend “admin” lautete – was die höchst sicherer Kombination aus Benutzername: admin mit Passwort: admin ergab. “Der Kunde hat es wohl nie geändert”, war die Antwort. Dieses Ding stand also defakto zig Wochen mit sperrangelweit offener Türe in der Gegend rum. Jedes gottverfluchte Scriptkiddie lässt admin/admin im ersten Durchgang seines 133t hax0r Scriptes mal austen.

Nein, der Kunde ist nicht Schuld, sowas wird in dieser Form überhaupt nie an einen Kunden übergeben! Lokal auf dem HeimPC kannst du von mir aus solche Passwörter vergeben, aber auf meinen live Servern hat sowas zu keiner Zeit was zu suchen. 

Auf die Frage, wo denn die lt. unseren AGBs anzulegenden lokalen Kopie des zerschossenen Template Verzeichnisses sei, kam die Antwort: “Ach, ich hab mir vor ein paar Monaten mal ausversehen meine externe Backup-Festplatte formatiert”. 

“Ich dachte Eure Server sind sicher!”, das mußte ich mir die letzten 3 Tage einige Male anhören. Ja, das dachte ich auch mal, aber wenn Schwachmaten am Ruder sind, kann ich auch nix retten. Aber ich habe die Sicherheit dieses Servers nun mit einem Handgriff verdoppelt: der Partner hostet nun bei 1Blu. Da gehts mich nichts mehr an. Wünsche den Kollegen von 1Blu sehr viel Spass.

Da reisst man sich tagein, tagaus den Hintern auf, um für Sicherheit auf den Servern zu sorgen und solche Nasen scheren sich einen Dreck um die einfachsten Grundregeln. Und solche Leute schimpfen sich dann noch Internet Agentur.

Ich könnte Kotzen, den ganzen Tag.

Tags: CMS, Joomla, Mambo, Meine Kunden

und in Joomla City siehts auch nicht besser aus.

Was will uns der Alte Sack denn damit nun wieder sagen? Derzeit schleicht sich ein auffälliges Mambo / Joomla Site Sterben durch das Netz. Reihenweise begegnen mir Mambo und Joomla Seiten gleichermaßen, die offensichtlich erst vor kurzem gehackt wurden. Erstaunlich oft sieht man dabei auch den Spruch “by the TurkishHacker hacked“. Selber bin ich übrigens auch nicht verschont worden, auch Sites unserer Kunden hats schon erwischt. Und auch der Support bei unserem Colocation Betreiber kennt das Problem.

Symptome des Hacks: Auf dem betroffenen Webserver wird Schadcode ausgeführt, welche alle *index*.* Dateien durch den Slogan des Hackers ersetzen. Backdoors oder sonstige weitere Nettigkeiten wurden auf dem von mir untersuchten Server keine eingeschleust, also noch vergleichsweise harmlos das Ganze. Teilweise werden auch Bilder getauscht, die Apache Config zerschossen und andere Konfigdateien überschrieben. Angriffspunkt ist ein anscheinend eklatantes Sicherheitsloch. Davon gibts, wenn man Secunia glauben schenken mag, leider bei beiden Systemen noch mehr als genug.

So ganz klar ist mir noch nicht, wo der Angriffspunkt ist. Ist es die inzwischen hinlänglich bekannte Register_Globals Methode? Kam der Hacker nun über Joomla oder über Mambo, kam er über ne alte, nicht mehr gepatchte Version rein, oder über ein System, das eigentlich “up to date” mit Patches war?

Irgendwas ist also hier arg fischig mit diesen beiden doch recht beliebten CMS Systemen. Wer also ein Mambo oder Joomla CMS auf seinem Server hat, dem Wünsche ich ganz viel Glück, auf dass er ungeschoren davon kommen mag. Ich selber verspüre nun etwas Paranoia wenn ich nur an die Mabo/Joomla Sites auf den anderen von uns betreuten Servern denke. 

Eins ist allerdings auch klar, wenn sich nicht bald was tut in der Richtung, dann werde ich entweder die Mambo / Joomla Kunden von unseren Shared Hosting Servern schmeissen, oder das Mambo/Joomla Hosting nur noch hochabgesichert und gegen Wartungsvertrag zum Einspielen sämtlicher Patches anbieten. Nochmal lass ich mir keinen Server unter der Nase weg abschiessen.

Tags: CMS, Eigene Homepage, Joomla, Mambo