Skip to main content

“Joomla sites misused to deploy malware” – Update

The Internet Storm Center reports that a large number of Joomla sites are currently deploying malicious code and infecting visitors with malware; some WordPress sites are also thought to be affected. The German CERT-Bund⁠ Computer Emergency Response Team, which is operated by the German Federal Office for Information Security (BSI), has confirmed that similar attacks on and via Joomla servers have also been observed in Germany.

Point of entry is Joomla’s Content Editor (JCE). Update to JCE 2.3.1 asap!

Thomas Hungenberg from CERT-Bund told The H‘s associates at heise Security that his findings indicate that, for several days, the compromised sites have been exploited to infect computers mainly with fake AV software via an exploit kit. To infect computers, the attackers embed an iFrame into the web sites that points to a Sutra Traffic Distribution System and eventually redirects to an exploit kit. Until recently, URLs ended in /nighttrend.cgi?8 as described by the ISC, but in the past few hours, other URLs such as hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8 have also been sighted.

Lees het volledige artikel bij The H:
http://www.h-online.com/open/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html

Joomla! defaces via JCE-kwetsbaarheid

2013-01-08:
De afgelopen dagen zie ik veel gedefacede Joomla!-websites via deze kwetsbaarheid (exploit: http://www.bugreport.ir/78/exploit.htm). Niet alleen worden er dus iframes toegevoegd aan websites, maar ook worden websites beklad en worden er mass mailingscripts geplaatst. Met deze mass mailingscripts worden dan duizenden spamberichten verstuurd.

I thought you might find this interesting:   WhatsApp prepares to share user info with Facebook - Time to switch

Oplossen van, en beveiligen tegen, het probleem

De enige oplossing is: Updaten. Door te updaten voorkom je vaak dat je website wordt gehackt. Joomla! 1.5 kun je relatief eenvoudig bijwerken. Versie 2.5 is sinds 26 januari 2012 vrijgegeven.

Stappenplan: beveiligen en updaten van Joomla! 1.5

  1. verwijder alle Joomla-bestanden binnen je webruimte (indien je templates niet aangepast zijn door derden, maak daar een back-up van en eveneens van het configuration.php-bestand)
  2. download de laatste 1.5-versie, dit is 1.5.26. Pak de bestanden uit op je computer en upload deze naar de website
  3. zet de back-ups van het configuration.php bestand en templates terug. De content van de website, zoals die staat in de database, is hiermee weer beschikbaar
  4. login op het administrator back-end van Joomla
  5. werk alle plug-ins, componenten, enz bij naar de meest recente versie
  6. voer een upgrade uit van Joomla! 1.5 naar Joomla! 2.5
  7. check How to convert Joomla 1.5 template to Joomla 2.5 template hoe je jouw template kunt converteren naar de 2.5-structuur
  8. werk weer alle plug-ins, componenten, enz bij naar de meest recente versie

Joomla! hulpmiddelen

Handige hulpmiddelen voor Joomla!, om back-ups te maken of updates uit te voeren zijn natuurlijk:

Extra informatie: How secure is your Joomla! website

Joomla! beschermen met Helicon Ape

Kun je nu niet even updaten? Je kunt dan Joomla! tijdelijk beschermen met een Helicon Ape .htaccess regel. Plaats hierin:

RewriteCond %{QUERY_STRING} option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 [NC]
RewriteRule .? / [F,L]

Of maak een nieuw .htaccess-bestand aan, met daarin:

RewriteEngine On
RewriteCond %{QUERY_STRING} option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 [NC]
RewriteRule .? / [F,L]

Deze URL, van option=com_jce tot en met &cid=20 is de enige die ik in exploits en logbestanden van gehackte websites ben tegengekomen.

I thought you might find this interesting:   "Simple Hack Threatens Outdated Joomla Sites"

2013-01-09:
Het Nationaal Cyber Security Center (NCSC) heeft vandaag beveiligingsadvies NCSC-2013-0026 uitgegeven, aangaande het geconstateerde misbruik van de Joomla Content Editor (of com_jce) kwetsbaarheid.

Jan Reilink

My name is Jan. I am not a hacker, coder, developer, programmer or guru. I am merely a system administrator, doing my daily thing at Vevida in the Netherlands. With over 15 years of experience, my specialties include Windows Server, IIS, Linux (CentOS, Debian), security, PHP, websites & optimization.

Hi! Join the discussion, leave a reply!