Thema: Heise.de - Wurm befällt Mambo/Joomla

Wie Heise heute berichtete , bedroht ein Wurm Mambo-Installationen bzw. deren hostenden Server. Auch Joomla-Versionen vor 1.0.4 sind betroffen.

Voraussetzung ist, dass register_globals auf OFF stehen (zu sehen unter help->system info im Backend), denn dann greift ein eine Emulation dieser Einstellung. Diese Emulation ist anfällig für diesen Wurm.

Mamboversionen patchen (4.5.2.3.):

http://mamboforge.net/frs/download.p...curity_fix.zip

Einfach drüberbügeln.


bzw. falls ältere Version:

http://mamboforge.net/frs/?group_id=5



Bei Joomla-Installationen Patch hier runterladen (je nach Version):

http://developer.joomla.org/sf/frs/d...omla_1_0.1_0_4

Was der Wurm im einzelnen genau anstellt, kann ich nicht beurteilen. Allerdings würde ich die Gefahr durchaus als kritisch einstufen.

Nochmal: Die Version 1.0.4. beinhaltet bereits den Patch. Dass dabei einige andere "Patches" eingespielt sind, die nicht wirklich funktionieren, ist ärgerlich, werden aber bei der in Kürze erscheinenden 1.0.5. behoben sein. Soweit ich es beurteilen kann (ohne Gewähr!) reicht auch die Ersetzung der im Patch-Paket enthaltenen globals.php. Das muss ich aber noch verifizieren.

Gruß Marc

Hier noch weitere Informationen, danke an Rocksack!

Wie Heise berichtete , bedroht ein Wurm Mambo-Installationen bzw. deren hostenden Server. Auch Joomla-Versionen vor 1.0.4 sind betroffen.
Voraussetzung ist, dass register_globals auf OFF stehen (zu sehen unter help->system info im Backend), denn dann greift ein eine Emulation dieser Einstellung. Diese Emulation ist anfällig für diesen Wurm.

Wie schütze ich mich vor dem Wurm?
Es gibt bereits einen fertigen Security-Patch (nur für Version 4.5.2.3). Desweiteren ist der Security-Patch bereits in der Version 4.5.3 integriert. Man schützt sich also mit einem Update!
Wer das nicht möchte, kann sich seine Version auch "von Hand" patchen. Hier die verschiedenen Möglichkeiten:

Fertige Patches bzw. Updates:
Mamboversionen patchen ( nur für Version 4.5.2.3.):
http://mamboforge.net/frs/download.p...curity_fix.zip

Einfach die index-Dateien mit denen aus dem Patch überschreiben - zur Sicherheit aber immer die Originaldateien sichern (bzw. umbenennen)!!

bzw. falls ältere Version, hilft ein Update auf 4.5.3:
http://mamboforge.net/frs/?group_id=5

Es gibt auch eine Möglichkeit für ALLE Mambo-Versionen sich "von Hand" gegen den Wurm abzusichern! Auch hier gilt: Immer die Originaldateien vor dem Bearbeiten sichern!
Und so geht's manuell:
Man muss ein Stück Code (s.u.) folgenden index-Dateien hinzufügen:
Im Mambo-Root-Verzeichnis:
- index.php
- index2.php
Im Verzeichnis /administrator:
- index.php
- index2.php
- index3.php

Füge in diesen 5 Dateien folgenden Code nach der Zeile define( "_VALID_MOS", 1 ); ein:

Code:

 
$protects = array('_REQUEST', '_GET', '_POST', '_COOKIE', '_FILES', '_SERVER', '_ENV', 'GLOBALS', '_SESSION');
foreach ($protects as $protect) {
 if ( in_array($protect , array_keys($_REQUEST)) ||
      in_array($protect , array_keys($_GET)) ||
      in_array($protect , array_keys($_POST)) ||
      in_array($protect , array_keys($_COOKIE)) ||
      in_array($protect , array_keys($_FILES))) {
     die("Invalid Request.");
 }
}

Für JOOMLA-User:
Joomla ist ab Version 1.0.4 sicher!
Bei Joomla-Installationen Patch hier runterladen (je nach Version):
http://developer.joomla.org/sf/frs/d...omla_1_0.1_0_4


Wie kann ich feststellen, ob mein System infiziert ist?:
Wenn Dir Dein Provider nicht einen überdurchschnittlichen Traffic-Anstieg mitteilt, gibt es noch eine unbestätigte Art um eine Infektion festzustellen:
Bei manchen Arten des Wurms wird die Datei us_english.php im language-Verzeichnis angelegt. Also:
Durchsuche das Verzeichnis /language und administrator/language nach der Datei us_english.php


Wie stelle ich fest, ob mein System gefährdet ist?
(Danke an David "SniperSister")

1. Ruft eure Seite mittels folgendem Link auf:

http://www.meineseite.de/index.php?G...h=/isdochegal/

2. Kommt jetzt eine Fehlermeldung wie z.B.

Fatal error: main(): Failed opening required '/isdochegal//includes...'

dann habt ihr ein Problem und solltet DRINGEND updaten, denn euer Mambo ist angreifbar!

3. Kommt jedoch eine Fehlermeldung wie z.B.:

Illegal variable _files or _env or ...

oder

Fatal error. Global variable hack attempted

oder

Invalide Request.

oder


- die Seite öffnet sich ganz normal

dann ist euer Mambo/Joomla sicher.






Alle Angaben natürlich ohne Gewähr !!

Vielleicht noch ein kleiner Hinweis für alle SMF-Nutzer: die index.php muss nach dem Patchen selbstverständlich erneut gepatcht werden, damit SMF wieder funktioniert.

Gruß, Zecke