“Joomla sites misused to deploy malware” – Update

The Internet Storm Center reports that a large number of Joomla sites are currently deploying malicious code and infecting visitors with malware; some WordPress sites are also thought to be affected. The German CERT-Bund⁠ Computer Emergency Response Team, which is operated by the German Federal Office for Information Security (BSI), has confirmed that similar attacks on and via Joomla servers have also been observed in Germany.

Point of entry is Joomla’s Content Editor (JCE). Update to JCE 2.3.1 asap!

Thomas Hungenberg from CERT-Bund told The H‘s associates at heise Security that his findings indicate that, for several days, the compromised sites have been exploited to infect computers mainly with fake AV software via an exploit kit. To infect computers, the attackers embed an iFrame into the web sites that points to a Sutra Traffic Distribution System and eventually redirects to an exploit kit. Until recently, URLs ended in /nighttrend.cgi?8 as described by the ISC, but in the past few hours, other URLs such as hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8 have also been sighted.

Lees het volledige artikel bij The H:

Joomla! defaces via JCE-kwetsbaarheid #

De afgelopen dagen zie ik veel gedefacede Joomla!-websites via deze kwetsbaarheid (exploit: http://www.bugreport.ir/78/exploit.htm). Niet alleen worden er dus iframes toegevoegd aan websites, maar ook worden websites beklad en worden er mass mailingscripts geplaatst. Met deze mass mailingscripts worden dan duizenden spamberichten verstuurd.

I thought you might find this interesting:   "New first stop for hacked site recovery", Google help for hacked sites

Oplossen van, en beveiligen tegen, het probleem #

De enige oplossing is: Updaten. Door te updaten voorkom je vaak dat je website wordt gehackt. Joomla! 1.5 kun je relatief eenvoudig bijwerken. Versie 2.5 is sinds 26 januari 2012 vrijgegeven.

Stappenplan: beveiligen en updaten van Joomla! 1.5 #

  1. verwijder alle Joomla-bestanden binnen je webruimte (indien je templates niet aangepast zijn door derden, maak daar een back-up van en eveneens van het configuration.php-bestand)
  2. download de laatste 1.5-versie, dit is 1.5.26. Pak de bestanden uit op je computer en upload deze naar de website
  3. zet de back-ups van het configuration.php bestand en templates terug. De content van de website, zoals die staat in de database, is hiermee weer beschikbaar
  4. login op het administrator back-end van Joomla
  5. werk alle plug-ins, componenten, enz bij naar de meest recente versie
  6. voer een upgrade uit van Joomla! 1.5 naar Joomla! 2.5
  7. check How to convert Joomla 1.5 template to Joomla 2.5 template hoe je jouw template kunt converteren naar de 2.5-structuur
  8. werk weer alle plug-ins, componenten, enz bij naar de meest recente versie

Joomla! hulpmiddelen #

Handige hulpmiddelen voor Joomla!, om back-ups te maken of updates uit te voeren zijn natuurlijk:

Extra informatie: How secure is your Joomla! website

Joomla! beschermen met Helicon Ape #

Kun je nu niet even updaten? Je kunt dan Joomla! tijdelijk beschermen met een Helicon Ape .htaccess regel. Plaats hierin:

RewriteCond %{QUERY_STRING} option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 [NC]
RewriteRule .? / [F,L]

Of maak een nieuw .htaccess-bestand aan, met daarin:

RewriteEngine On
RewriteCond %{QUERY_STRING} option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 [NC]
RewriteRule .? / [F,L]

Deze URL, van option=com_jce tot en met &cid=20 is de enige die ik in exploits en logbestanden van gehackte websites ben tegengekomen.

I thought you might find this interesting:   Help Net Security reviewed Acunetix 11

Het Nationaal Cyber Security Center (NCSC) heeft vandaag beveiligingsadvies NCSC-2013-0026 uitgegeven, aangaande het geconstateerde misbruik van de Joomla Content Editor (of com_jce) kwetsbaarheid.

Please Support Saotn.org

Each post on Sysadmins of the North takes a significant amount of time to research, write, and edit. Therefore, your donation helps a lot! For example, a donation of $3 U.S. buys me a cup of coffee, and as you know: things jsut work better with coffee. A $10 U.S. donation buys me one month of web hosting (yes, hosting costs money). But seriously, thank you for any amount. Much appreciated!

Please donate to support this site if you found a post interesting or if it helped you solve a problem. Thanks! (Tip: no Paypal account required)

If you appreciated this post, then please donate using this Paypal button

Jan Reilink

My name is Jan. I am not a hacker, coder, developer, programmer or guru. I am merely a system administrator, doing my daily thing at Vevida in the Netherlands. With over 15 years of experience, my specialties include Windows Server, IIS, Linux (CentOS, Debian), security, PHP, websites & optimization.

Leave a Reply

Be the First to Comment!

Hi! Join the discussion, leave a reply!