Zur Zeit werden von Hackergruppen Joomla! 1.5 Installationen systematisch angegriffen. Die kompromitierten Installationen öffnen einen Zugriff auf den Account, so dass Schadsoftware eingefügt werden kann. Die Unbekannten bemächtigen sich dann des Accounts und führen Angriffe verschiedenster Art auf externe System aus. Es werden HTTP Requests in einer Anzahl im Millionenbereich ausgeführt.
Es gibt Hinweise darauf, dass sich die Hacker vorbereitend Installationen mit Schwachstellen aussuchen und zunächst unbemerkt über das CMS ausführbaren Code einschleusen. In der Folgezeit wird dann der kompromitierte Account aktiviert und für systematische Attacken genutzt. Dies können DDOS – Attacken sein mit dem Ziel, fremde Server in die Knie zu zwingen oder auch der Versuch, durch Brute-Force-Attacken passwortgeschützte Zugänge zu knacken.
Durch die damit erzeugte hohe Auslastung entstehen Probleme in der “Nachbarschaft” der gehackten Site. Auf einem Shared Server teilen sich viele Kunden die Rechen- und Speicherressourcen eines physikalischen Servers. Nimmt nun – bedingt durch die Angriffe und Aktivitäten – eine Site einen großen Teil der technisch verfügbaren Ressourcen ein, bleibt für die anderen Sites nur noch wenig Kapazität. Internetuser merken dies dadurch, dass die aufgerufene Website ungewöhnlich langsam reagiert.
Wir haben alle Nutzer von alten Open Source Anwendungen schon oft aufgerufen, die Systeme auf einen aktuellen Stand zu bringen, damit die bekannt gewordenen Sicherheitslücken gestopft sind. Nicht jeder kommt dieser Aufforderung nach – leider!
Folge ist, dass aufgrund der großen Beliebtheit von Joomla! 1.5 eine lohnenswert hohe Anzahl an verwundbaren Installationen zu finden ist, die verhältnismäßig leicht übernommen werden können. Dies ist nicht nur eine abstrakte und theoretische Bedrohung. Die Sicherheitslücken in Joomla! 1.5 werden tatsächlich ausgenutzt.
Die hohe Systematik und die massive Konzetration von Angriffen auf Joomla! 1.5 Installationen ist bemerkenswert. Es scheint sich um bestens organisierte Gruppen zu handeln, die gezielt nach eher vernachlässigten Websites suchen und durch gezieltes Ausprobieren hackbare Installationen finden, die sie dann Tage später auch konzertiert für großflächige Einsätze gegen fremde Computer verwenden.
Der ausgehende Datenverkehr ist verschlüsselt, so dass das Ziel der Attacken für uns unklar bleibt. Klar jedoch ist, dass wir es nicht zulassen können, dass unbeteiligte Kundenwebsites aufgrund von vernachlässigten CMS in Mitleidenschaft gezogen werden und dass unsere Infrastruktur für böswillige Angriffe auf fremde Systeme eingesetzt wird.
Wir haben uns daher entschieden, nach alten Joomla! 1.5 Installationen auf unseren Servern zu fahnden und diese “kalt zu stellen”. Das heißt: Wir werden den HTTP-Zugiff auf diese Verzeichnisse, in denen ein Joomla! 1.5 -CMS liegt blockieren. Das verhindert einen Angriff, allerdings sind die mit dem CMS erstellten Webseiten natürlich auch nicht mehr erreichbar.
Wenn Sie noch Joomla! 1.5 einsetzen, handeln Sie jetzt! Der Zugriff auf damit erzeugte Websites wird am Freitag, 1.3.2013 nach 12:00 Uhr nicht mehr möglich sein.
Einzelfallsupport können wir für einen Umzug auf ein aktuelles Joomla! 2.5 nicht anbieten. Wir erklären aber in einem anderen Posting, wie man mithilfe einer Extension ein Upgrade von 1.5 auf 2.5 realisieren kann.