Angriff auf Joomla!-Installation

Vor ein paar Tagen wurde eine auf meinem vServer laufende Joomla!-Instanz massiv angegriffen. Der Inhaber dieser Seite bekam in ca. einer Stunde über 600 Mails vom Nachrichtensystem. So etwas ist bedauerlich und nicht gerade schön mit anzusehen.

Was war passiert?

Die Analyse des Logs /var/log/mail.log zeigte, dass Mails im 5-6 Sekunden-Takt vom Server an den Administrator gesendet wurden. 

Was wurde kurzfristig unternommen?

Zu allererst wurde der Versand der Systemmails der Joomla!-Installation deaktiviert. Damit konnte die Spam-Welle vorerst gestoppt werden. Bei der weiteren Analyse stellte sich heraus, dass die User-Registrierung aktiv war und sich über 600 User registriert hatten. Die dazu verwendeten eMail-Adressen hatten alle die Domain-Endung .ru. Im nächsten Schritt wurde die Registrierung ebenfalls deaktiviert. Warum diese aktiv war, kann ich leider nicht mehr nachvollziehen. Alle verdächtigen registrierten User der Seite wurden gelöscht.

Wie ging es weiter?

Da ich zu dem Zeitpunkt immer noch nicht genau wusste was genau passiert war, habe ich ein älteres Backup der Datenbank eingespielt (zum Glück werden Backups der Datenbanken, wie im Artikel „MySQL- Sicherung ohne Passwort im Script“ beschrieben, täglich automatisch angelegt). Nach dem Einspielen stellte sich heraus, dass hier nur die bekannten Administratoren als Benutzer in der Joomla!-Installation gespeichert waren. Die Registrierung wurde wieder deaktiviert und so die Sicherheitslücke geschlossen. Abschließend habe ich nachgeschaut, ob Dateien oder Verzeichnisse der Joomla!-Installation in den letzten Tagen verändert wurden. Dazu wechselte ich in das entsprechende Verzeichnis

und suchte die Änderungen der Dateien der letzten fünf Tage

Ausgabe:

sowie den Änderungen der Verzeichnisse

Ausgabe:

Die Dateien und Verzeichnisse wurden dann meinerseits überprüft. Da es hier keinerlei Auffälligkeiten gab, konnte auf das Einspielen eines Backups der kompletten Installation verzichtet werden.

Was war nun tatsächlich passiert?

Es konnten sich von außen User registrieren. Die so erstellten Accounts wurden aber nicht aktiviert, da die angegeben eMail-Adressen wahrscheinlich nicht valide waren. Das System verschickte jedoch bei jeder neuen Registrierung eine entsprechende eMail an den Superadministrator. So kam es zu einer massiven Welle von Registrierungsbestätigungen. Da die registrierten Accounts nicht aktiviert werden konnten, hatten die Aktionen keine Auswirkungen auf das System.

Kann das nochmal vorkommen?

Durch die deaktivierte Registrierung kann es zu dieser Art von Angriffen nun nicht mehr kommen.

Stretch auf den Raspberry Pi

Gestern habe ich nun auch meinen Raspberry Pi Raspbian Stretch spendiert. Ich war dabei etwas skeptisch, ob Flightradar mit dem neuen stabilen OS zurecht kommt. Meine Bedenken waren aber völlig unbegründet.

Zuerst wird in der /etc/apt/sources.list

 „jessie“ durch „stretch“ ersetzt und die Datei mit Ctrl + o gespeichert und der Editor mit Ctrl + x verlassen. Dann werden die Quellen neu eingelesen

und Stretch installiert.

Zum Schluss sollte man mit

noch etwas aufräumen.

Wie wäre es mit einem Rolling Release?

Ein Rolling Release ist schon eine feine Sache. Ständig wird das Betriebssystem mit neuen Software- und Sicherheitspaketen versorgt. Neuere Kernel finden zeitnah den Weg ins Projekt. Das System ist somit immer aktuell.

Was gibt es nun für Möglichkeiten? Typische Vertreter der Rolling Releases sind Arch, Gentoo, Solus oder Manjaro. Ich habe mich jedoch vor einigen Tagen für Debian Testing entschieden. An dieser Stelle muss man aber erwähnen, dass es sich beim Testing-Zweig nur solange um ein Rolling Release handelt bis Testing den Status Freeze erreicht. Dieser Status hält ca. drei bis vier Monate an. In dieser Zeit werden keine neuen Softwarepakete und Kernel mehr aufgenommen. Nur noch Sichereitsupdates fließen in das Projekt, bis Debian eine neue stabile Version veröffentlicht. Testing wird dann zu Stable und alles beginnt von neuem. Da es also einen gewissen Zeitrum gibt, wo keine Neuerungen in Debian Testing einfließen, ist Testing kein wirkliches Rolling Release.

Entsprechende Images werden wöchentlich hier zur Verfügung gestellt.

Wie wechselt man hingegen von Debian Stretch auf Debian Testing. Das ist relativ einfach. Zuerst bearbeitet man die /etc/apt/sources.list. Hierbei sollten alle Fremdquellen auskommentiert werden. Danach werden die Einträge „Stretch“ durch „Testing“ ersetzt. (siehe Screenshot)

/etc/apt/sources.list

Das Upgrade  wird dann wie folgt angestoßen.

Bevor man sich auf Debian Testing einlässt, sollte man zuvor natürlich ein Backup anlegen!

Debian GNU/Linux buster/sid 64 Bit

Es kann natürlich beim Einsatz zu Problemen kommen. Bugs werden i.d.R. aber schnell gefixt.

Upgrade auf Roundcube 1.3.0

Gestern wurde Roundcube in Version 1.3.0 released. Ich habe das Upgrade heute gleich auf meinem vServer angestoßen. Dazu wurde der Download von Roundcube 1.3.0 in /var/www/html abgelegt.

Der Tarball wurde entpackt,

das neue Verzeichnis betreten

und das Upgrade ausgeführt. Der Pfad muss hierbei entsprechend angepasst werden. Da meine Roundcube-Installation in /var/www/mail/rc liegt, sieht die Eingabe wie folgt aus:

Roundcube 1.3.0

Das Upgrade verlief ohne Probleme. Zum Schluss konnten das temporäre Upgrade-Verzeichnis und der Download gelöscht werden.

Stretch auf dem ThinkPad E550

Nun sind es ja nur noch zwei Wochen bis Debian 9 offiziell released wird. Was soll da noch schief gehen? 

Debian 9 Stretch

Aus diesem Grund habe ich schon mal das Upgrade auf Stretch angestoßen.

Zuerst wurden meine Einträge in der /etc/apt/sources.list angepasst. Dabei wurde jeweils jessie durch stretch ersetzt.

Dann waren noch die Paketquellen neu einzulesen und das Dist-Upgrade auszuführen.

Nachdem alle Pakete eingespielt wurden, konnte das System rebootet und auch contrib non-free aktiviert und eingelesen werden.

Debian 9 Stretch ist drauf und alles läuft bestens!

exFAT

Neulich hatte ich einen USB-Stick bekommen, welcher auf einem Windows-System in exFAT formatiert war. Um auf die Daten zugreifen zu können, war es nötig folgende Erweiterungen zu installieren.

exFAT ist ein Microsoft-Dateisystem, welches es ermöglicht Dateien größer 4GB auf einen Flash-Speicher zu schreiben.