Waarom Webwereld voor onnodige paniek heeft gezorgd
Gisteren kopte de website webwereld.nl groots op de voorpagina 'Joomla-lek leidt tot phishingaanvallen ING'. Webwereld stelde dat een lek in Joomla zou leiden tot phishingaanvallen. Een artikel dat voor de nodige discussies zou gaan zorgen. De inleiding luidde als volgt:
Bij een recente phishing-aanval op ING-spaarders is grootschalig gebruik gemaakt van gekraakte Nederlandse websites. De vermoedelijke oorzaak: een lek in open source-cms Joomla.
De eigenaar van autoverkoper VdVeenusacars.nl uit Workum kreeg dinsdag een telefoontje. Of hij wist dat er in een phishingmail bestemd voor ING-klanten werd verwezen naar zijn site. Ja, dat wist hij inmiddels. Het bedrijf dat de site onderhoudt was er mee bezig.
Wat de relatie tussen deze phishingaanvallen en Joomla is wordt pas aan het eind van het artikel duidelijk. De webontwikkelaar van de website VdVeenusacars.nl, Xqlusive komt aan het woord en geeft aan dat de website op een oudere versie van Joomla draait:
Wat wij zien is dat er geen gebruik wordt gemaakt van gekraakte wachtwoorden. Op een of andere manier slagen ze erin om via een contactformulier op een site bestanden weg te schrijven naar de cache van Joomla, die gewoon open staat. Toen wij het contactformulier hebben uitgezet, was het probleem opgelost.
Een voorbarige conclusie?
Bij navraag bleek de betreffende website op Joomla 1.0.15 te draaien, inderdaad een oudere versie van Joomla, maar dat deze onveilig zou zijn is nieuw voor mij. In het artikel worden tevens twee andere sites met hetzelfde probleem genoemd, wonderbaarlijk genoeg geen Joomla websites zover na te gaan. Is de conclusie dat Joomla de oorzaak van de phishingaanvallen was dan niet wat voorbarig?
Ik besloot een email te sturen naar de redactie van webwereld met daarin mijn mening en bevindingen. “Wellicht zijn het wel verkeerde server instellingen aan de zijde van de hosting om maar wat te noemen.” opperde ik, met tevens het verzoek het titel en artikel aan te passen of te nuanceren.
Joomla of onveilige hosting?
Ondertussen hadden meer Joomla vrienden het artikel gelezen en in de diverse Skype chats kwamen we al snel tot de conclusie dat er tussen de drie genoemde sites een heel andere verband is dat niet in het artikel vermeld is. De genoemde sites zijn allemaal gehost op dezelfde server bij een webhoster.
Het begon er dus steeds meer op te lijken dat er inderdaad wat mis was met de hosting. Ronald Pijpers opperde in de reacties op het artikel al:
In de wiki van de hosting provider van VdVeenusacars.nl staat: "U dient in uw www map een map aan te maken die tmp heet. Chmod deze map naar 777." Tja, dan vraag je er wel om, om gehacked te worden. Als de hoster zijn werk goed doet is het nooit nodig om voor Joomla mappen op 777 te zetten.
Een map op 777 zetten zou bij de juiste hosting instellingen nooit nodig hoeven zijn. Waarom deze instelling verkeerd is legt Nicholas K. Dionysopoulos (maker van de populaire Joomla extensie Akeeba Backup) uit in het Engelstalige artikel '777: The number of the beast'. Kortom, met elk willekeurig systeem waarbij mappen op 777 zijn gezet is dit mogelijk, niet alleen bij Joomla.
Reactie en vervolgartikel van webwereld
Ondertussen ontving ik per mail ook een reactie van webwereld: “Door jouw reactie én die van anderen zijn we toch eens verder gaan graven. Er komt een follow-up artikel aan.” Ik zou het persoonlijk andersom gedaan hebben maar men was er in ieder geval mee bezig.
Even later verscheen op de website van webwereld dan ook het vervolgartikel 'ING-phishingaanval ook geholpen door hostingfout' In het artikel is op te maken dat de webbouwer opnieuw is gebeld en er een aantal nieuwe zaken naar voren komen.
Een van de gekraakte sites, Totalegekte.nl, draait niet op Joomla. "Die draait op Typo3, de meest recente versie", zegt Xqlusive nu. Typo3 is een content management systeem (cms), dat net als Joomla open source is. De webdesigner is nog bezig met het onderzoeken van oorzaak van de digitale inbraak. "We hebben nu wel enkele inzichten, maar kunnen die nog niet delen."
"Het heeft wel enigszins met Joomla te maken, maar ook met rechten op mappen." De mogelijke problemen met Joomla kan Xqlusive "niet met 100 procent zekerheid zeggen". Webwereld krijgt opnieuw de uitleg dat de krakers zijn binnengekomen via het contactformulier van Joomla. Daarlangs zijn bestanden weggeschreven op de getroffen websites, die na verwijdering door Xqlusive (na de ontdekking van de inbraak) meteen weer opdoken.
Zorg voor de juiste hosting en instellingen
Het blijkt dus niet zozeer een specifiek Joomla probleem te zijn maar eerder het gebruik van verkeerde instellingen voor de server en mappen op de server zelf. Joomla is wellicht gebruikt om daarin bestanden te plaatsen, iets dat met meerdere systemen mogelijk is. Je hosting provider kan dit soort problemen vermijden door het gebruik van suPHP (zie daarvoor ook het eerder genoemde artikel '777: The number of the beast'). Mocht dat niet gebruikt worden is het van belang dat je de bestandsrechten van je server op de juiste manier instelt, lees meer daarover in onze documentatie. Vuistregel is dat je nooit mappen op 777 moet instellen.
Leidt een Joomla lek dus tot phishingaanvallen?
Nee, er is geen direct verband tussen Joomla en deze phishingaanvallen. Joomla is wellicht gebruikt als middel om verkeerde bestanden op een niet goed ingestelde server te plaatsen, iets dat de hosting provider en anders de webbouwer hadden moeten voorkomen. Wel blijft het belangrijk dit goed in de gaten te houden, helaas zijn er bijvoorbeeld Joomla extensies die bij installatie mappen op 777 zetten. Brian Teeman is de laatste weken bezig om deze extensies uit de Joomla Extensions Directory te laten verwijderen.
Webwereld heeft helaas voor onnodige onrust gezorgd onder vele Joomla - en door het vervolgartikel onder TYPO3 - gebruikers door te stellen dat een lek in Joomla voor de phishingaanvallen zorgt. Wel kunnen we webwereld bedanken voor het feit dat iedere CMS gebruiker eens kritisch naar zijn webhosting en bestandsrechten gaat kijken, althans we mogen hopen van wel!
Het zou webwereld sieren als men in het vervolg vooraf verder gaat graven voordat er een artikel met een concluderende titel en wijzende vinger geplaatst wordt dat niet goed onderbouwd is. Een artikel over de gevaren van verkeerd ingestelde hosting en de bestandsrechten op 777 was eerder op zijn plaats geweest.