Sehr geehrte Kundinnen und Kunden,
in den vergangenen beiden Tagen kam es zu einer massiven Anzahl gehackter Joomla-Seiten, hier waren insbesondere die Versionen 1.0 und 1.5 betroffen. Bei genauerer Untersuchung konnten wir herausfinden, dass hier der JCE als Schwachstelle ausgenutzt wird.
Die Hacker laden zunächst unscheinbare PHP-Dateien über die Schwachstelle auf den Server und führen diese dann einige Tage oder sogar erst Wochen später aus. Durch das Ausführen der Dateien wird dann weiterer Schadcode auf den Server geladen, um dann DDOS-Attacken oder Brute-Force-Attacken (welche zum Knacken von passwortgeschützten Seiten dienen) zu starten. Dadurch erfolgen tlw. millionenfache Aufrufe von Seiten, was die Leitungen völlig überlastet und die Server größtenteils nicht mehr erreichbar sind. Wir konnten bislang schnell genug reagieren und die betroffenen Seiten sperren, damit die anderen Seiten auf dem gleichen Server weiterhin erreichbar bleiben. Hinweise auf einen bereits erfolgten oder sich in Vorbereitung befindenden Hack sind PHP-Dateien im Ordner /images bzw. /images/stories. Wenn Sie hier Dateien wie pageinfo.php oder generell PHP-Dateien neueren Datums finden, ist davon auszugehen, dass der Hack bereits erfolgt ist bzw. das Nachladen des Schadcodes in Vorbereitung ist.
Um zu vermeiden, dass Ihre Seite gehackt wird und wir diese in letzter Konsequenz aufgrund des Hacks sperren müssen, prüfen Sie bitte unbedingt, ob der JCE-Editor installiert ist und falls ja, in welcher Version. Bis zur Version 2.1.1 ist diese Komponente als unsicher einzustufen. Welche Version jeweils installiert ist, können Sie in Joomla 1.5 über folgenden Weg herausfinden:
Adminbereich-> Erweiterungen -> Installieren/Deinstallieren -> Komponenten
Hier sehen Sie, welche Komponenten in welcher Version installiert sind und können den JCE direkt deinstallieren.
Das Update erfolgt bei Joomla 1.5 indem Sie die Komponente deinstallieren und die neueste Version des JCE installieren. Diese finden Sie unter folgendem Link zum Download:
http://www.joomlaos.de/option,com_remository/Itemid,41/func,fileinfo/id,6636.htmlBei Joomla 1.0 gibt es leider keine Möglichkeit, diesen noch zu aktualisieren, aber Joomla 1.0 sollte inzwischen auch nicht mehr verwendet werden. Sollte es bei einer Joomla 1.0-Seite zu einem Hack kommen, kann diese nicht mehr online gehen, dafür ist das Risiko für die anderen Kunden auf dem gleichen Server einfach zu groß. Auch Joomla 1.5-Seiten werden nach einem Hack durch uns gesperrt, um weiteren Schaden zu vermeiden.
Die übliche Vorgehensweise, dass wir ein sauberes Backup zurück spielen und dann die Sicherheitslücke beseitigt werden kann, ist hier leider nicht mehr möglich, da der Schadcode vor mehr als zwei Wochen hochgeladen wurde und unsere Backups maximal zwei Wochen vorgehalten werden. Hier wären die Alternativen nur eine komplette Säuberung der bestehenden Seite gemäß folgender Anleitung:
http://www.joomla-security.de/joomla-gehackt-was-tun.htmloder ein Neuanfang, vorzugsweise natürlich mit Joomla 2.5. Wenn Ihre Seite noch nicht gehackt wurde, wäre jetzt ein guter Zeitpunkt, alle Komponenten zu aktualisieren und zu prüfen, dass Joomla 1.5.26 installiert ist. Mittelfristig wird hier aber kein Weg an einem Umstieg auf Joomla 2.5 vorbeiführen, eine Migration sollte daher schnellstmöglich vorgenommen werden.
Aufgrund der Masse der Hacks bitten wir um Verständnis, dass wir die Säuberung der Seite nicht vornehmen können.