Nachdem Ende Juli mehrere Lücken im CMS Mambo bzw. Joomla bekannt wurden, gind der Wettlauf wieder los. Wer ist schneller der Webmaster oder die Scriptkiddis. Nun in fast allen Fällen war ich der vorläufige Gewinner aber in einem Fall bekam ich Besuch von ausserhalb. Da die Admins des Hostingproviders aber noch langsamer sind als ich, hatte ich die Chance mal nach zu schauen wie so etwas geht.
Alles begann damit, dass mir die Monitoring-Software zur Überwachung meiner Webseiten einen Fehler mitteilte. Nach einer kurzen Überprüfung war klar, das hier manipuliert wurde. Die nächsten Stunden hatte diese Webseite meine volle Aufmerksamkeit, insbesondere Webserver-Protokoll.
Der Ablauf des Angriffs ist recht simpel, wenn man erstmal weiß wie es funktioniert. Zuerst kommt mal eine Suchmaschine an die Arbeit, mit der ich nach bestimmten Begriffen in der URL suchen kann. Für eine am 1. August bekannt gewordene Lücke fand Google immerhin 933 Ergebnisse in deutscher Sprache, also ausreichende Spielplätze. Dann übergebe ich der verwundbaren Webseite in der URL ein "Backdoor"-Script mit dem ich dann nach Herzenslust auf dem Webserver arbeiten kann. In meinem konkreten Fall waren gleich drei verschiedene Gruppen am Werk und hinterliesen entsprechende Logdatei-Spuren. Als erstes wurde also die Hintertür zu meiner Seite auf den Server kopiert um damit Vorbereitungen für das Aufbrechen der Seite zu schaffen. Innerhalb der nächsten Stunde wurde dann ein neues Unterverzeichnis mit ausfühbaren Linux-Datein angelegt, die Startseite geändert, die komplette Konfiguration überschrieben und versucht einen Chat zu installieren.
Solche Angriffe funktioneren übrigens immer dann wenn mehrere Faktoren gleichzeitig zutreffen. Neben der Lücke in einem PHP-Script ist dazu auch ein schlecht konfigurierter Webserver erforderlich. Warum es immernoch Confixx-Installationen gibt die ein vernünftigens Arbeiten mit einem CMS ausschließen konnte mir bisher noch keiner von den angesrochene Serveradministratoren sagen. Offensichtlich verwenden einige Hostingprovider ihre Server als Geldruckmaschinen oder Spielplatz, anstatt sich um die Serversicherheit im Interesse ihrer Kunden zu kümmern.
Bis ich die betroffene Seite aktualisieren kann bleibt die Lücke bestehen und ich will mal sehen was da noch so alles passiert.
