Vor ein paar Tagen wurde eine auf meinem vServer laufende Joomla!-Instanz massiv angegriffen. Der Inhaber dieser Seite bekam in ca. einer Stunde über 600 Mails vom Nachrichtensystem. So etwas ist bedauerlich und nicht gerade schön mit anzusehen.
Was war passiert?
Die Analyse des Logs /var/log/mail.log zeigte, dass Mails im 5-6 Sekunden-Takt vom Server an den Administrator gesendet wurden.
Was wurde kurzfristig unternommen?
Zu allererst wurde der Versand der Systemmails der Joomla!-Installation deaktiviert. Damit konnte die Spam-Welle vorerst gestoppt werden. Bei der weiteren Analyse stellte sich heraus, dass die User-Registrierung aktiv war und sich über 600 User registriert hatten. Die dazu verwendeten eMail-Adressen hatten alle die Domain-Endung .ru. Im nächsten Schritt wurde die Registrierung ebenfalls deaktiviert. Warum diese aktiv war, kann ich leider nicht mehr nachvollziehen. Alle verdächtigen registrierten User der Seite wurden gelöscht.
Wie ging es weiter?
Da ich zu dem Zeitpunkt immer noch nicht genau wusste was genau passiert war, habe ich ein älteres Backup der Datenbank eingespielt (zum Glück werden Backups der Datenbanken, wie im Artikel „MySQL- Sicherung ohne Passwort im Script“ beschrieben, täglich automatisch angelegt). Nach dem Einspielen stellte sich heraus, dass hier nur die bekannten Administratoren als Benutzer in der Joomla!-Installation gespeichert waren. Die Registrierung wurde wieder deaktiviert und so die Sicherheitslücke geschlossen. Abschließend habe ich nachgeschaut, ob Dateien oder Verzeichnisse der Joomla!-Installation in den letzten Tagen verändert wurden. Dazu wechselte ich in das entsprechende Verzeichnis
|
1 |
cd /var/www/html/joomla |
und suchte die Änderungen der Dateien der letzten fünf Tage
|
1 |
find . -mtime -5 -type f |
Ausgabe:
|
1 2 |
./logs/error.php ./configuration.php |
sowie den Änderungen der Verzeichnisse
|
1 |
find . -mtime -10 -type d |
Ausgabe:
|
1 |
./tmp |
Die Dateien und Verzeichnisse wurden dann meinerseits überprüft. Da es hier keinerlei Auffälligkeiten gab, konnte auf das Einspielen eines Backups der kompletten Installation verzichtet werden.
Was war nun tatsächlich passiert?
Es konnten sich von außen User registrieren. Die so erstellten Accounts wurden aber nicht aktiviert, da die angegeben eMail-Adressen wahrscheinlich nicht valide waren. Das System verschickte jedoch bei jeder neuen Registrierung eine entsprechende eMail an den Superadministrator. So kam es zu einer massiven Welle von Registrierungsbestätigungen. Da die registrierten Accounts nicht aktiviert werden konnten, hatten die Aktionen keine Auswirkungen auf das System.
Kann das nochmal vorkommen?
Durch die deaktivierte Registrierung kann es zu dieser Art von Angriffen nun nicht mehr kommen.
Herr Lüttig, vielen Dank für die ausgesprochen prompte Handhabung, den professionellen Umgang und die plausiblen Erläuterungen. Gruß VC
Frage: Hätte der Angreifer nicht auch die Timestamps ändern können (Created & Modified) sprich ist die Methode ohne Backup einspielen weiterzugehen 100% sicher?
Könntest Du das genauer an einem Beispiel erklären?