Włamanie na serwer Joomli!

Strona WWW serwisu poświęconego systemowi zarządzania treścią Joomla! padła ofiarą crackera, który dostał się do danych strony głównej, stron dla deweloperów, stron pomocy oraz sklepu internetowego.

Włamywacz podmienił logo na głównej stornie, ponadto niektóre treści witryny stały się niedostępne. Zaraz po wykryciu włamania administrator zabezpieczył pliki raportów zdarzeń oraz dziennik aktywności i przywrócił całą zawartość strony. Nic więcej nie mógł jednak zrobić, ponieważ był w tym czasie w podróży, co ograniczało mu możliwość pracy przez Sieć. Gdy powrócił do domu, okazało się, że intruz wciąż stara się oszpecić witrynę. W reakcji na to odłączono serwer od Sieci i przystąpiono do poszukiwania śladów intruza. W katalogach sklepu dzielny administrator znalazł skrypty powłoki.

Administratorzy portalu są na razie bezradni, bo wciąż nie wiadomo, jak cracker przedostał się do systemu. Niewykluczone, że winna jest luka w obsłudze opcji języka PHP powiązana z mechanizmem register_globals. Także brak ochrony dostępu (plik .htaccess) mógł sprzyjać napastnikowi. Programiści wykluczają jednak winę głównych komponentów Joomli!, a także błędy związane z hostingiem serwera. Ich zdaniem luki należy szukać w obrębie komponentów odpowiedzialnych za obsługę sklepu.

Źródło: heise Security

Realizacja: SIPLEX Studio