Wichtiges Joomla-Update auf Version 3.4.5

Dienstag, 20 Oktober 2015 02:31

Das Joomla-Sicherheitsteam hat am vergangenen Freitag angekündigt, dass am kommenden Donnerstag, dem 22. Oktober, um 16 Uhr mitteleuropäischer Zeit ein sehr wichtiges Sicherheitsupdate für Joomla 3 veröffentlicht wird. Dieses Vorgehen ist äusserst ungewöhnlich und lässt darauf schliessen, dass die gefundene Sicherheitslücke sehr kritisch ist. Die offizielle Ankündigung des Updates finden Sie in Englisch auf der offiziellen Joomla-Website.

In einem vergleichbaren Fall beim Content-Managment-System Drupal konnten bereits nach sieben Stunden grossangelegte und automatisierte Angriffswellen beobachtet werden. Bei Drupal wurde die Schliessung der Sicherheitslücke nicht angekündigt und die Kriminellen hatten keine Zeit sich vorzubereiten. Durch die Ankündigung des Joomla-Updates haben nun auch die Kriminellen genügend Zeit, um sich auf Ihre Angriffe vorzubereiten und ich rechne damit, dass die ersten grossen Angriffswellen innerhalb von zwei oder drei Stunden nach der Veröffentlichung des Updates starten.

Alle Joomla-Websites, die am Donnerstag bis spätestens 18 Uhr nicht aktualisiert wurden, sind ab dann in ernsthafter Gefahr gehackt zu werden. Damit sind hohe Risiken für Ihre Besucher verbunden und im schlimmsten Fall kann eine gehackte und durch Kriminelle missbrauchte Website für Sie zu straf- oder zivilrechtlichen Konsequenzen führen.

Ob auch ältere Joomla-Version von der Lücke betroffen sind ist nicht bekannt und wird auch nicht bekannt gegeben. Bei Joomla 1.5 schätze ich die Gefahr als sehr gering ein. Dass Joomla 2.5 betroffen ist, ist durchaus denkbar. Ältere Joomla 3-Versionen sind wahrscheinlich sicher betroffen.

Wartungsvertrag

Auf Grund der Tragweite des Problems und des engen zeitlichen Rahmens kann ich das Update leider nicht für alle Kunden innerhalb der notwendigen Zeitspanne durchführen. Garantieren kann ich die Durchführung nur für Kunden mit einem Wartungsvertrag. Der Abschluss eines Wartungsvertrags mit einer Mindestlaufzeit von 12 Monaten ist noch möglich, falls aktuell zumindest Joomla 3.4.x verwendet wird. Bei Verwendung einer älteren Joomla 3-Version besteht nach Absprache eventuell die Möglichkeit eines Wartungsvertrags. Für Joomla 2.5 kann ich Ihnen aktuell leider keinen Wartungsvertrag anbieten. Nähere Informationen zum Wartungsvertrag finden Sie auf meiner Website.

Update-Anleitung

Falls Sie das Update selbst durchführen möchten, finden Sie auf meiner Website eine ausführliche Anleitung. Falls Sie sich unsicher sind, lesen Sie den Text bitte vollständig und genau durch und erstellen Sie zuvor auf jeden Fall eine Sicherung Ihrer Website. Die Anleitung beschreibt nur ein einfaches Update (z.B. von Joomla 3.4.1 auf 3.4.4) und kein Upgrade (z.B. von Joomla 2.5.x auf 3.4.x).

Handlungsempfehlungen

Falls Sie aktuell Joomla 3 verwenden, sollten Sie bis spätestens Mittwoch-Abend auf die aktuellste Version 3.4.4 aktualisieren und eine vollständige Sicherung Ihrer Website beziehungsweise Ihres Webspaces inklusive aller Datenbanken erstellen. Die Sicherung müssen Sie auf jeden Fall auf Ihren Rechner herunterladen. Am Donnerstag-Mittag sollten Sie dann das Update auf Joomla 3.4.5 zeitnah nach der Veröffentlichung einspielen.

Falls Sie noch Joomla 2.5 einsetzen, ist die Zeit für ein Upgrade auf Joomla 3 ziemlich knapp bemessen. Ich kann diese Woche zeitlich leider keine Upgrades mehr unterbringen. Das Upgrade ist mit einigen Schwierigkeiten verbunden und sollte daher nur von Personen mit dem nötigen Fachwissen durchgeführt werden. Falls Sie keine Möglichkeit mehr haben, auf Joomla 3 zu aktualisieren, würde ich Ihnen empfehlen, am Mittwoch-Abend eine umfangreiche Sicherung Ihres Webspaces und Ihrer Datenbanken zu erstellen. Wichtig ist, dass Sie auch alle Dateien sichern, die nichts direkt mit Joomla zu tun haben. Diese Sicherung müssen Sie dann auf Ihren Computer herunterladen, sodass sie in Sicherheit ist und später gegebenenfalls verwendet werden kann. 

Sollte Joomla 2.5 von der Sicherheitslücke betroffen sein, wird mit etwas Glück zeitnah ein inoffizieller Sicherheitspatch veröffentlicht. Dieser würde dann voraussichtlich die letzte Version der Joomla 2.5-Serie voraussetzen, sodass es empfehlenswert ist, bis Mittwoch-Abend bereits auf Joomla 2.5.28 zu aktualisieren.

Weiterlesen

buttons-for-website.com schädlich?

Sonntag, 16 November 2014 01:03

Anfang diesen Monats ist mir in Piwik (ein Open Source Besucherstatistikprogramm vergleichbar mit Google Analytics) aufgefallen, dass ich ein paar Besucher mit der Referral-URL buttons-for-website.com auf meinen Websites hatte.

Anfangs habe ich dem noch keine große Beachtung geschenkt, aber als immer mehr Besucher aus aller Welt über diesen Link auf meine Websites kamen, wollte ich mir einmal ansehen, in welchem Kontext meine Websites dort verlinkt werden. Auf der Website buttons-for-website.com konnte ich dann aber keine Verlinkung finden. Da die Website sehr einfach gehalten ist, konnten auch versteckte Links ausgeschlossen werden. Ich vermutete, dass das angebotene Skript eventuell eine Fehlfunktion hat und daher, warum auch immer, Besucher auf meine Website umleitet. Daraufhin habe ich das Thema erst einmal abgehackt.

Screenshot: buttons-for-website.com

Da Mitte des Monats immer noch Besucher von dieser Website den Weg auf meine Websites finden, habe ich heute nochmal etwas recherchiert und mir ein paar Gedanken zur Ursache gemacht. Schlussendlich kam ich zu der Erkenntnis, dass dies eine raffinierte Spam-Kampagne ist. Meiner Recherche zufolge bin ich nicht der einzige Webmaster, der neugierig wurde und sich die Referral-URL einmal näher angesehen hat. Für die angebotenen Share-Buttons stimmt die Zielgruppe auf jeden Fall.

Bei meiner Recherche habe ich in einem Forum auch gelesen, dass mehrere Personen durch die Besucher von der unbekannten Website verunsichert waren und nicht wussten, ob ihre Website dadurch geschädigt werden kann. Dies kann klar ausgeschlossen werden, aber dennoch ist erhöhte Vorsicht geboten.

Vorsicht ist geboten!

Das Skript auf der Website buttons-for-website.com sollte auf keinen Fall auf der eigenen Website verwendet werden. So wie der Code angeboten wird, können die Betreiber das Skript später problemlos austauschen und beispielsweise Schadcode oder Werbung in Websites, die das Skript nutzen, injizieren. Ich vermute sogar, dass dies die Absicht hinter der Aktion ist.

Grund für meine Vermutung sind verschiedene Indizien, die dafür sprechen. Zum einen haben die Betreiber der Domain ihre Identität verschleiert und es ist daher nicht einfach herauszufinden, wer hinter dem Angebot steckt. Zum anderen ist diese Spam-Aktion mit einem gewissen Aufwand verbunden und angeboten wird nur ein werbefreies, kostenloses und noch dazu optisch ansprechendes Skript.

Abhilfe gegen die unerwünschten Besucher

Für alle, die nicht möchten, dass ihnen die unechten Besucher die Besucherstatistik verzerren, gibt es die Möglichkeit, diese Besucher mit mod_rewrite und der Variable HTTP_REFERER auszusperren. Bei der Umsetzung der Maßnahme, muss allerdings gut aufgepasst werden, dass versehentlich nicht auch legitime Besucher ausgesperrt werden.

Ich könnte mir allerdings gut vorstellen, dass solcher Referral-Spam in Zukunft häufiger zu sehen und das aussperren daher nicht von langer Dauer ist.

Nachtrag

Wie ich nun herausgefunden habe, existiert diese Art des Spams bereits seit längerem. Der deutsche Wikipedia-Artikel zum Thema wurde bereits 2006 angelegt. Piwik setzt allerdings eine (offensichtlich gut funktionierende) Referrer-Filter-Liste zur Filterung dieser Besucher ein und daher habe bisher noch nicht viel davon mitbekommen. Es gibt auch eine Möglichkeit, die Piwik-Referrer-Spam-Liste über die Variable referrer_spam_urls in der Konfiguration zu ergänzen. Eventuell gibt es in Zukunft zudem die Möglichkeit, Spam-URLs dynamisch aus Piwik heraus auf die Spam-Liste zu setzen. Die Diskussion dazu findet auf Github statt.

Weiterlesen

Nachtrag zur Drupal-Sicherheitslücke vom 15. Oktober 2014

Mittwoch, 29 Oktober 2014 10:23

Drupal LogoDas Drupal Security Team hat heute einen Nachtrag zur am 15. Oktober 2014 veröffentlichten SQL-Injection-Sicherheitslücke veröffentlicht. Darin weist das Sicherheitsteam darauf hin, dass die Sicherheitslücke bereits wenige Stunden nach der Veröffentlichung aktiv und automatisiert ausgenutzt wurde. Alle Drupal-Installationen, die am 15. Oktober bis 23 Uhr (UTC) noch nicht aktualisiert wurden, sollten als kompromittiert betrachten werden.

Da die restlose Entfernung aller möglicherweise installierten Hintertüren sehr schwierig ist, wird zur Wiederherstellung eines sauberen Zustands empfohlen, auf ein Backup, welches vor der Veröffentlichung der Lücke erstellt wurde, zurückzugreifen.

Weitere Informationen zur allgemeinen Vorgehensweise nach einem Hack gibt es im Artikel Your Drupal site got hacked. Now what?

Weiterlesen

HTTPS ist ab sofort ein Rankingsignal

Donnerstag, 7 August 2014 10:56

Google hat gestern offiziell bekannt geben, dass ab sofort HTTP über TLS ein Rankingsignal ist. Über HTTPS erreichbare Websites werden daher in den Suchergebnissen bevorzugt. Bereits vor einiger Zeit gab es diesbezüglich Aussagen von Google-Entwicklern, aber nun ist es offiziell.

Aktuell bringt eine verschlüsselter Verbindungsaufbau zwischen Besucher und Server nur einen leichten Rankingvorteil. Laut Google sind weniger als ein Prozent der globalen Suchanfragen betroffen. Es ist aber durchaus möglich, dass der Faktor in Zukunft stärker gewichtet wird.

Weiterlesen

Einrichtungsassistent für den Website-Backup-Service

Donnerstag, 26 Juni 2014 03:30

In der Vergangenheit gab es bei mehreren Kunden Probleme mit der Einrichtung von Websites im Website-Backup-Service. Um diesem Problem entgegen zu wirken, habe ich einen Einrichtungsassistent entwickelt und in den Website-Backup-Service integriert. Es ist nun in vier einfachen Schritten möglich, eine Website inklusive Datenbank einzurichten.

Zudem steht der Backup-Service für Interessenten und Kunden aus Deutschland und Österreich ab sofort auch unter den Domains websitebackup.de und websitebackup.at zur Verfügung. Die Domain websitebackup.ch ist weiterhin für alle Interessenten und Kunden aus der Schweiz erreichbar.

Weiterlesen

Joomla Authentication Logger veröffentlicht

Donnerstag, 26 Juni 2014 03:02

Vor kurzem habe ich auf GitHub einen Authentication Logger als Plugin für Joomla veröffentlicht. Der Logger ist in der Lage, die folgenden Events zu erfassen: Benutzerlogin, fehlgeschlagener Benutzerlogin, Benutzerlogout und fehlgeschlagener Benutzerlogout. Für die Zukunft ist noch geplant, den Wechsel von Passwörtern zu loggen und zu erfassen, wenn ein Benutzer seinen Benutzernamen anfordert oder das Passwort zurücksetzen lässt.

Weiterlesen

Android-Angriffsszenario und -Rooting

Freitag, 6 Juni 2014 01:39

Im Rahmen eines Projektes habe ich im zweiten Halbjahr 2013 ein Angriffsszenerio auf Android-Smartphones ausgearbeitet. In dem Szenario geht es darum, dass ein Angreifer für einen kurzen Augenblick (unter einer Minute) physikalischen Zugriff auf ein Smartphone erhält und das Betriebssystem in dieser kurzen Zeit willkürlich manipulieren kann. Denkbar wäre, dass solch ein Angriff im Rahmen von Wirtschaftsspionage stattfindet. Der Angreifer könnte sich beispielsweise an einer Messe, einem Seminar oder an einer Fortbildung für kurze Zeit Zugang zum Gerät des Opfers verschaffen und das Betriebssystem so manipulieren, dass das Gerät als Wanze agiert.

Weiterlesen