Geschreven door Sander Potjer op maandag 05 december 2011 14:45, in: Security

Het zal je inmiddels niet ontgaan zijn, diverse media berichten vanmorgen "Turkse hackers willen duizenden Nederlandse sites bekladden".security-maand Zo berichtte de website nu.nl vanmorgen:

Turkse hackers zijn van plan duizenden kleine en grote Nederlandse websites te bekladden omdat ‘Nederland te ver is gegaan’. [...] Het gaat vooral om sites van kleine bedrijven en particulieren, maar ook de websites van Piet Paulusma, Wikileaks.nl en de gemeenten Diemen en Bussum staan op de lijst.  [...] De hackers maken waarschijnlijk misbruik van een lek in het CMS Joomla.

Deze laatste zin komt uit het originele bericht over de gehackte websites op de website tweakers.net:

In het topic, dat geheel gewijd lijkt aan Nederland, staan meer dan 3600 domeinnamen opgesomd in de lijst met mogelijke doelwitten. Vermoedelijk gaat het om een lijst met sites die Joomla gebruiken; de hackersgroep misbruikt al jaren sites met een lek in het cms.

Hierdoor wordt de suggestie gewekt dat het om allemaal Joomla installaties gaat die gehackt zijn. Maar is dat inderdaad wel het geval?

De lijst met 3600 domeinnamen

In tegenstelling tot de suggestie die de berichtgeving wekt staan de sites niet op de nominatie om te hacken, maar zijn de sites afgelopen nacht al gehackt. Inmiddels werken de meeste sites wel weer. Als we de lijst met domeinnamen bekijken zien we inderdaad veel Joomla installaties terug maar er staan ook andere CMS'en als WordPress tussen. Een ander verband dat tussen de sites te zien is dat vele worden gehost bij Byte Internet.

Wat is er nu precies gebeurd?

Gaat het nu om een Joomla hack of is er wat anders aan de hand? Gisteravond kwam ik er zelf ook achter dat mijn eigen site gehost door Byte was gehackt. Wat direct opviel was dat het niet alleen om Joomla sites ging maar ook simpele html pagina's. Overal waren index.php, index.html, index.asp, etc.. bestanden geplaatst door de root user. Mijn vermoeden was op dat moment al dat er iets anders aan de hand was dan alleen een Joomla hack.

Vanmorgen heb ik per mail aan Byte om verdere informatie gevraagd en of het om een Joomla hack gaat. Suzanne Flinkenflögel van Byte Internet gaf de volgende reactie:

Het klopt inderdaad dat de hacker in eerste instantie toegang heeft verkregen via een oude versie van Joomla (Joomla 1.5.22). Normaal gesproken beperkt deze hack zich enkel tot de website met het lek en is er geen gevaar voor de andere sites op het cluster. In dit geval echter heeft de hacker via een kernel exploit toch toegang gekregen tot het root-filesystem op cluster 2.

Om te zorgen dat het niet meer mogelijk was om verdere schade aan te richten heeft Byte op alle servers met de exploitable kernel de kernel vervangen met een andere kernel.

Zie ook het nagekomen perbericht van Byte Internet onderaan dit artikel. Op de website van Byte ook meer informatie te vinden, de pagina wordt tevens regelmatig bijgewerkt.

Joomla wel èn niet de oorzaak van de hacks

security-maand-3De hack is dus inderdaad begonnen doordat een Joomla site met een verouderde Joomla versie is gehackt. Al is het op dit moment nog niet helder of de Joomla core in deze site is gehackt, het om een gehackte extensie gaat of iets heel anders op de betreffende site, dat zoekt Byte momenteel nog uit.

Echter had het nooit mogen gebeuren dat de hackers via deze enkele gehackte site toegang konden krijgen tot een geheel cluster om duizenden andere sites te hacken, ongeacht het gebruikte CMS. Het is dus niet zo dat duizenden sites via het Joomla CMS zijn gehackt. De andere sites in het cluster zijn allemaal gehackt omdat "de buurman" geen bijgewerkte site had en Byte niet kon voorkomen dat de hacker via "de buurman" kon toeslaan.

En wat nu verder?

Vannacht heeft Byte de gehackte sites weer hersteld waardoor vanmorgen bij de meeste de melding al niet meer te zien was. Verder is er voor Byte werk aan de winkel om te zorgen dat een kernel exploit niet meer kan voorkomen. Daar wordt momenteel hard aan gewerkt en Byte zal zoals we gewend zijn daar open over communiceren. Ben je klant bij Byte en is je website gehackt geweest? Dan is het verstandig om je database en ftp wachtwoorden aan te passen. Meer informatie in hetzelfde artikel.

Voor alle Joomla gebruikers is het wederom een waarschuwing om te zorgen dat je de laatste versie van Joomla èn van je gebruikte extensies gebruikt. Instructie voor Joomla 1.5 is hier na te lezen en Joomla 1.7 kan je eenvoudig via de backend updaten naar de laatste versie (Extensies -> Extensie beheer -> Ontdekken).

Onder dit artikel vind je ook een overzicht van gerelateerde artikelen over veiligheid met diverse tips.

Persbericht Byte Internet

Zondagnacht heeft een hacker toegang gekregen tot het root filesystem van Cluster 2.
Hieronder leggen we uit hoe de hacker te werk is gegaan.

Een van onze klanten heeft een oude versie (Joomla 1.5.22) van Joomla gebruikt die exploitable was. Normaal gesproken beperkt deze hack zich enkel tot de website met het lek en is er geen gevaar voor de andere sites op het cluster. In dit geval echter heeft de hacker via een kernel exploit toch toegang gekregen tot het root-filesystem.

De hacker heeft in zijn hack-poging gebruik gemaakt van een exploit in de kernel. Hoewel Byte software continue up to date houdt, zijn kernelexploits altijd een mogelijk doelwit. Hierdoor had de hacker toegang tot 1 webnode in ons webcluster 2. De overige 77 clusters hebben geen last gehad van deze hack.

Om te zorgen dat het niet meer mogelijk was om verdere schade aan te richten heeft Byte op alle servers met de exploitable kernel deze vervangen. De hacker was tussen 22.30 en 23.00 actief. Byte is vervolgens tot 03.00 bezig geweest om gedeface-te sites te herstellen en kernel updates uit te voeren.

De hacker heeft in de getroffen sites verschillende index-pagina’s vervangen door deface pagina’s. Het lijkt erop dat het hier bij is gebleven maar we onderzoeken nu welke acties de hacker precies heeft ondernomen.

Hoewel het er niet op lijkt dat wachtwoorden zijn buitgemaakt, raden we klanten aan uit voorzorg hun wachtwoorden aan te passen.

Voor updates over deze kwestie raden we klanten aan onze site in de gaten te houden:
http://www.byte.nl/cms/nieuws/nieuws/onderhoud.html

Reacties (7)

0
#1
hans2103 ma 05 dec 2011, 15:01
Net bericht en heldere uitleg. Hopelijk beperkt deze aanval van de hackers tot slechts één provider. Kost allemaal zo veel tijd om te herstellen.
Aan de andere kant... weer aandacht voor het veilig maken van websites.

Updates zijn dus belangrijk... niet alleen aan CMS, maar dus ook aan Kernel.
0
#2
thetjo ma 05 dec 2011, 15:29
In het artikel wordt gesproken over een 'verouderde' versie van Joomla. Hoewel dat uiteraard juist is (1.5.25 is immers de nieuwste in de 1.5 serie), is er in de security changelogs van Joomla 1.5.23, 1.5.24 en 1.5.25 niets terug te vinden over exploits met betrekking tot file uploads. De staat van de 'oudheid' draagt dan ook weinig af of toe aan de versie die is gebruikt voor de hack. Als de hack dan ook via de core van Joomla gedaan is, zou dit betekenen dat alle Joomla 1.5 installaties open staan voor deze exploit?
+1
#3
Sander ma 05 dec 2011, 15:35
Dat is een goede en terechte vraag thetjo. Daarom wacht ik met interesse af wat de exacte oorzaak is geweest van de hack op de Joomla 1.5.22 site, joomla core, een extensie, of toch iets anders?

Als we meer weten plaatsen we natuurlijk een update.
0
#4
jnobel ma 05 dec 2011, 16:07
Het enige wat ik op dat vlak kan bedenken wat betreft wijzigingen tussen 1.5.22 en 1.5.25 zijn een paar regels in de .htaccess over base64 encoding en script in URL's

Dank trouwens aan Sander voor de heldere samenvatting!
0
#5
bartpronk ma 05 dec 2011, 16:59
Afgelopen weekend is wel een website van een klant van ons gehackt, er was een iframe geplaatst in index bestanden met een link naar seawolbeamasa.com. Bij iemand bekend en kan het aan bovenstaande gelinkt worden?

Heb het iframe wel verwijderd uit de index bestanden, maar kreeg nog wel de melding van de virusscanner? Ligt dit dan nog aan de virusscanner of zal ik nog verder op zoek moeten naar aangepaste bestanden?
0
#6
Sander ma 05 dec 2011, 17:16
Ha Bart, bovenstaand hack had ander patroon. Geen iframes maar puur index.html, index.php, index.asp etc bestanden die in de root van site werden geplaatst en verder geen andere mappen/bestanden. Lijkt mij dus een ander probleem.

Raad je aan de logs na te lopen/op te vragen om te achterhalen hoe het kon plaatsvinden en aan hand daarvan juiste stappen nemen.
+1
#7
bartpluijms wo 07 dec 2011, 14:40
Goh... komt mijn eigen website ook terug op de lijst ;) Toch leuk. Gelukkig zie ik verder geen klanten van me in de lijst terugkomen.

Mijn website draait overigens op Wordpress en dankzij de hulp van Byte heeft niemand van mijn klanten gezien dat de website uberhaupt gehackt is geweest.

Plaats reactie

Om een reactie te kunnen plaatsen op dit artikel zul je moeten inloggen aan de rechterzijde van deze pagina. Als je nog geen account hebt kun je er gratis een aanmaken waarna je een reactie kunt plaatsen.

j 351 j-2528 JoomlaCommunity

Laatste Nederlandstalige Joomla!® versies

Licentievoorwaarden

Op alle artikelen is de Creative Commons Licentie van toepassing.

Donateurs: Ruud Mastbergen