Heise.de - Wurm befällt Mambo/Joomla

MadeMyDay · Registriert seit: 17.11.2004

Wie Heise heute berichtete , bedroht ein Wurm Mambo-Installationen bzw. deren hostenden Server. Auch Joomla-Versionen vor 1.0.4 sind betroffen.

Voraussetzung ist, dass register_globals auf OFF stehen (zu sehen unter help->system info im Backend), denn dann greift ein eine Emulation dieser Einstellung. Diese Emulation ist anfällig für diesen Wurm.

Mamboversionen patchen (4.5.2.3.):

http://mamboforge.net/frs/download.p...curity_fix.zip

Einfach drüberbügeln.

bzw. falls ältere Version:

http://mamboforge.net/frs/?group_id=5

Bei Joomla-Installationen Patch hier runterladen (je nach Version):

http://developer.joomla.org/sf/frs/d...omla_1_0.1_0_4

Was der Wurm im einzelnen genau anstellt, kann ich nicht beurteilen. Allerdings würde ich die Gefahr durchaus als kritisch einstufen.

Nochmal: Die Version 1.0.4. beinhaltet bereits den Patch. Dass dabei einige andere "Patches" eingespielt sind, die nicht wirklich funktionieren, ist ärgerlich, werden aber bei der in Kürze erscheinenden 1.0.5. behoben sein. Soweit ich es beurteilen kann (ohne Gewähr!) reicht auch die Ersetzung der im Patch-Paket enthaltenen globals.php. Das muss ich aber noch verifizieren.

Gruß Marc

MadeMyDay · Registriert seit: 17.11.2004

Hier noch weitere Informationen, danke an Rocksack!

Wie Heise berichtete , bedroht ein Wurm Mambo-Installationen bzw. deren hostenden Server. Auch Joomla-Versionen vor 1.0.4 sind betroffen.
Voraussetzung ist, dass register_globals auf OFF stehen (zu sehen unter help->system info im Backend), denn dann greift ein eine Emulation dieser Einstellung. Diese Emulation ist anfällig für diesen Wurm.

Wie schütze ich mich vor dem Wurm?
Es gibt bereits einen fertigen Security-Patch (nur für Version 4.5.2.3). Desweiteren ist der Security-Patch bereits in der Version 4.5.3 integriert. Man schützt sich also mit einem Update!
Wer das nicht möchte, kann sich seine Version auch "von Hand" patchen. Hier die verschiedenen Möglichkeiten:

Fertige Patches bzw. Updates:
Mamboversionen patchen ( nur für Version 4.5.2.3.):
http://mamboforge.net/frs/download.p...curity_fix.zip

Einfach die index-Dateien mit denen aus dem Patch überschreiben - zur Sicherheit aber immer die Originaldateien sichern (bzw. umbenennen)!!

bzw. falls ältere Version, hilft ein Update auf 4.5.3:
http://mamboforge.net/frs/?group_id=5

Es gibt auch eine Möglichkeit für ALLE Mambo-Versionen sich "von Hand" gegen den Wurm abzusichern! Auch hier gilt: Immer die Originaldateien vor dem Bearbeiten sichern!
Und so geht's manuell:
Man muss ein Stück Code (s.u.) folgenden index-Dateien hinzufügen:
Im Mambo-Root-Verzeichnis:
- index.php
- index2.php
Im Verzeichnis /administrator:
- index.php
- index2.php
- index3.php

Füge in diesen 5 Dateien folgenden Code nach der Zeile define( "_VALID_MOS", 1 ); ein:

Code:

 
$protects = array('_REQUEST', '_GET', '_POST', '_COOKIE', '_FILES', '_SERVER', '_ENV', 'GLOBALS', '_SESSION');
foreach ($protects as $protect) {
 if ( in_array($protect , array_keys($_REQUEST)) ||
      in_array($protect , array_keys($_GET)) ||
      in_array($protect , array_keys($_POST)) ||
      in_array($protect , array_keys($_COOKIE)) ||
      in_array($protect , array_keys($_FILES))) {
     die("Invalid Request.");
 }
}

Für JOOMLA-User:
Joomla ist ab Version 1.0.4 sicher!
Bei Joomla-Installationen Patch hier runterladen (je nach Version):
http://developer.joomla.org/sf/frs/d...omla_1_0.1_0_4

Wie kann ich feststellen, ob mein System infiziert ist?:
Wenn Dir Dein Provider nicht einen überdurchschnittlichen Traffic-Anstieg mitteilt, gibt es noch eine unbestätigte Art um eine Infektion festzustellen:
Bei manchen Arten des Wurms wird die Datei us_english.php im language-Verzeichnis angelegt. Also:
Durchsuche das Verzeichnis /language und administrator/language nach der Datei us_english.php

Wie stelle ich fest, ob mein System gefährdet ist?
(Danke an David "SniperSister")

1. Ruft eure Seite mittels folgendem Link auf:

http://www.meineseite.de/index.php?G...h=/isdochegal/

2. Kommt jetzt eine Fehlermeldung wie z.B.

Zitat:

Fatal error: main(): Failed opening required '/isdochegal//includes...'

dann habt ihr ein Problem und solltet DRINGEND updaten, denn euer Mambo ist angreifbar!

3. Kommt jedoch eine Fehlermeldung wie z.B.:

Zitat:

Illegal variable _files or _env or ...

oder

Zitat:

Fatal error. Global variable hack attempted

oder

Zitat:

Invalide Request.

oder

- die Seite öffnet sich ganz normal

dann ist euer Mambo/Joomla sicher.

Alle Angaben natürlich ohne Gewähr !!

zecke23 · Registriert seit: 08.10.2004

Vielleicht noch ein kleiner Hinweis für alle SMF-Nutzer: die index.php muss nach dem Patchen selbstverständlich erneut gepatcht werden, damit SMF wieder funktioniert.

Gruß, Zecke

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Tagging für Mambo/Joomla!	chrysmo	Module / Komponenten Suche bzw. Entwicklung	3	19.08.2008 08:51


MadeMyDay Administrator Wohnort auf der Karte Registriert seit: 17.11.2004 Ort: Karlsruhe Beiträge: 2,438 Bedankte sich: 25 286 Danksagungen in 169 Beiträgen	Heise.de - Wurm befällt Mambo/Joomla Wie Heise heute berichtete , bedroht ein Wurm Mambo-Installationen bzw. deren hostenden Server. Auch Joomla-Versionen vor 1.0.4 sind betroffen. Voraussetzung ist, dass register_globals auf OFF stehen (zu sehen unter help->system info im Backend), denn dann greift ein eine Emulation dieser Einstellung. Diese Emulation ist anfällig für diesen Wurm. Mamboversionen patchen (4.5.2.3.): http://mamboforge.net/frs/download.p...curity_fix.zip Einfach drüberbügeln. bzw. falls ältere Version: http://mamboforge.net/frs/?group_id=5 Bei Joomla-Installationen Patch hier runterladen (je nach Version): http://developer.joomla.org/sf/frs/d...omla_1_0.1_0_4 Was der Wurm im einzelnen genau anstellt, kann ich nicht beurteilen. Allerdings würde ich die Gefahr durchaus als kritisch einstufen. Nochmal: Die Version 1.0.4. beinhaltet bereits den Patch. Dass dabei einige andere "Patches" eingespielt sind, die nicht wirklich funktionieren, ist ärgerlich, werden aber bei der in Kürze erscheinenden 1.0.5. behoben sein. Soweit ich es beurteilen kann (ohne Gewähr!) reicht auch die Ersetzung der im Patch-Paket enthaltenen globals.php. Das muss ich aber noch verifizieren. Gruß Marc __________________ Wenn mal einer sucht, wird er es auch finden... wenn denn mal einer die Suche findet. made my day - reloaded - Webdesign Karlsruhe - CMS Anbieter Karlsruhe


zecke23 Urgestein u. Joomlagott Registriert seit: 08.10.2004 Ort: Wiesbaden Beiträge: 9,958 Bedankte sich: 49 979 Danksagungen in 897 Beiträgen	Vielleicht noch ein kleiner Hinweis für alle SMF-Nutzer: die index.php muss nach dem Patchen selbstverständlich erneut gepatcht werden, damit SMF wieder funktioniert. Gruß, Zecke __________________ 100% Joomla!-Hosting mit vorinstallierten Joomla!-Paketen und Joomla-Support. Kein Safe Mode, kein wwwrun-Problem, SEF geht, 100 Pro Joomla! (Mambo ) einfach und zusätzlich Joomla-Schulungen im Rhein-Main-Gebiet. Portal nicht nur für Studis: http://www.hochschulreif.de