Thema: Sicherheitslücke Joomla?

Hallo ich habe aktuell ein Sicherheitsproblem mit einer Seite.

Hier die mail, die ich an den Hoster geschickt habe:

Sehr geehrtes All-Inkl Team,

wir betreiben bei ihnen die Domain
www.bvb-fanclub-ahaus.de. Als Basis für unsere Webseite
verwenden wir Joomla 1.0.15. Eigentlich hat bisher alles soweit super
funktioniert, bis Sonntag Abend einige unserer Dateien von einem Trojaner/Virus
befallen wurden. Bzw. es wurde in viele PHP Dateien ein Iframe eingebaut der auf
einen solchen weiterleitet. Nach einiger Arbeit habe ich diesen Code jetzt
wieder aus den Dateien entfernt und es erscheint auch keine Viruswarnung mehr.

Befallen waren nur die Dateien, bei denen ich öffentliche Schreibrechte aktiviert
hatte. Dies habe ich jetzt wieder standardmäßig auf 755/644 geändert, damit ein
solcher Angriff nicht noch einmal passiert. Normalerweise setze ich die Rechte
auch nicht auf 777/666, aber damit ich unsere Joomla Installation überhaupt vom
Backend aus einstellen/ändern konnte war dies bei vielen Dateien notwendig.
Ansonsten steht im Backend von Joomla bei jeder Datei (z.B. configuration.php)
"unwritable", was nicht gerade im Sinne einer dynamischen Webseite ist, wenn
nichts geändert werden kann.

Nebenbei arbeite ich noch mit einigen weiteren Joomla Installation, bei denen
überall die Standardrechte zur Bearbeitung der Einstellungen reichen. Deswegen möchte
ich nachfragen, wie ich dies nun auch auf Ihrem Server hinbekomme, meine
Joomla-Einstellungen zu ?ern, ohne wieder durch öffenttliche Schreibrechte einen
weiteren Befall zu provozieren. Ich wäre Ihnen sehr dankbar für eine schnelle
Antwort.

MfG

Dominik Niehaus

Die Antwort:

Hallo,

dies ist etwas kompliziert. Aktuell ist so, dass alle Dateien/Verzeichnisse
welche von Joomla beschrieben werden sollen, die Rechte 666/777 haben müssen,
da php als Apache-Modul läuft und somit unter dem User wwwrun, welcher nicht
Ihrem FTP-User entspricht (deshalb die höheren Rechte).

Man kann php auch im cgi-Mode laufen lassen, dann ist der User welcher die
Dateien/Verzeichnisse beschreibt (als das Joomla) auch gleichzeitig Ihr
FTP-User und kommt mit den Rechten 644/755 aus.

Das behebt aber das Problem der Sicherheitslücke nicht, wodurch die Dateien
manipuliert wurden. Im Gegenteil nun kann der Angreifer sämtliche Dateien
beschrieben/ändern und nicht nur die, welche die Rechte 666 haben. In dem Fall
ist also mit noch größerem Schaden zu rechnen. Davon mal abgesehen ist aus
Performancegründen vom cgi-Mode abzuraten.

Da die Angriffe durch ausnutzen von Sicherheitslücken in der Software zu Stande
kommen, sollten Sie also die Einstellungen so lassen, jedoch nach
Sicherheitsupdates von Joomla und den entsprechend eingesetzten Komponenten und
Modulen ausschau halten.

Meine Frage an euch lautet jetzt, welche Maßnahmen bzw. Komponenten/Module es gibt, damit ich einen Angriff der meine PHP Dateien manipuliert zukünftig vermeiden kann. Habe bisher noch nichts gefunden.

Gruß

Dominik

Die Logs sind weg, da ich alles gelöscht hab und das Backup eingespielt hab. War dumm, ich weiß, aber ich wollte erstma alles löschen, da ich nich 100% wusste wie viele Dateien befallen sind.

Folgende Erweiterungen sind installiert:
extplorer RC2
Joomleague 0.92
Ponygallery 2.5.0 (war installiert zu dem Zeitpunkt)
PollXT 1.23.06
Easybook 1.1
XHTML Suite 1.5

Danke schon mal für eure Antworten. Ist mir schon klar dass die Lücke auch wohl schon im Backup ist, aber besser ein Backup mit Sicherheitslücke als eine virenbefallene Seite ohne Backup. Ich werde mich dann mal weiter umschauen, wie ich sowas zukünftig vermeiden kann. Für weitere Tipps wär ich euch dennoch sehr dankbar.

Zitat von evil_bert

Meine Frage an euch lautet jetzt, welche Maßnahmen bzw. Komponenten/Module es gibt, damit ich einen Angriff der meine PHP Dateien manipuliert zukünftig vermeiden kann. Habe bisher noch nichts gefunden.

Keine Kompromisse mit Hostern eingehen. wwwrun ist ein Kompromiss, der einfach nur nervt, und dann vergisst man wie Du, Rechte wieder zurückzusetzen!

Ausserdem System und Komponenten aktuell halten.

Rooney