| Door: Sander Potjer. | Categorie: Algemeen.

Duizenden Joomla sites gehackt, of toch niet?

Het zal je inmiddels niet ontgaan zijn, diverse media berichten vanmorgen "Turkse hackers willen duizenden Nederlandse sites bekladden".security-maand Zo berichtte de website nu.nl vanmorgen:

Turkse hackers zijn van plan duizenden kleine en grote Nederlandse websites te bekladden omdat ‘Nederland te ver is gegaan’. [...] Het gaat vooral om sites van kleine bedrijven en particulieren, maar ook de websites van Piet Paulusma, Wikileaks.nl en de gemeenten Diemen en Bussum staan op de lijst.  [...] De hackers maken waarschijnlijk misbruik van een lek in het CMS Joomla.

Deze laatste zin komt uit het originele bericht over de gehackte websites op de website tweakers.net:

In het topic, dat geheel gewijd lijkt aan Nederland, staan meer dan 3600 domeinnamen opgesomd in de lijst met mogelijke doelwitten. Vermoedelijk gaat het om een lijst met sites die Joomla gebruiken; de hackersgroep misbruikt al jaren sites met een lek in het cms.

Hierdoor wordt de suggestie gewekt dat het om allemaal Joomla installaties gaat die gehackt zijn. Maar is dat inderdaad wel het geval?

De lijst met 3600 domeinnamen

In tegenstelling tot de suggestie die de berichtgeving wekt staan de sites niet op de nominatie om te hacken, maar zijn de sites afgelopen nacht al gehackt. Inmiddels werken de meeste sites wel weer. Als we de lijst met domeinnamen bekijken zien we inderdaad veel Joomla installaties terug maar er staan ook andere CMS'en als WordPress tussen. Een ander verband dat tussen de sites te zien is dat vele worden gehost bij Byte Internet.

Wat is er nu precies gebeurd?

Gaat het nu om een Joomla hack of is er wat anders aan de hand? Gisteravond kwam ik er zelf ook achter dat mijn eigen site gehost door Byte was gehackt. Wat direct opviel was dat het niet alleen om Joomla sites ging maar ook simpele html pagina's. Overal waren index.php, index.html, index.asp, etc.. bestanden geplaatst door de root user. Mijn vermoeden was op dat moment al dat er iets anders aan de hand was dan alleen een Joomla hack.

Vanmorgen heb ik per mail aan Byte om verdere informatie gevraagd en of het om een Joomla hack gaat. Suzanne Flinkenflögel van Byte Internet gaf de volgende reactie:

Het klopt inderdaad dat de hacker in eerste instantie toegang heeft verkregen via een oude versie van Joomla (Joomla 1.5.22). Normaal gesproken beperkt deze hack zich enkel tot de website met het lek en is er geen gevaar voor de andere sites op het cluster. In dit geval echter heeft de hacker via een kernel exploit toch toegang gekregen tot het root-filesystem op cluster 2.

Om te zorgen dat het niet meer mogelijk was om verdere schade aan te richten heeft Byte op alle servers met de exploitable kernel de kernel vervangen met een andere kernel.

Zie ook het nagekomen perbericht van Byte Internet onderaan dit artikel. Op de website van Byte ook meer informatie te vinden, de pagina wordt tevens regelmatig bijgewerkt.

Joomla wel èn niet de oorzaak van de hacks

security-maand-3De hack is dus inderdaad begonnen doordat een Joomla site met een verouderde Joomla versie is gehackt. Al is het op dit moment nog niet helder of de Joomla core in deze site is gehackt, het om een gehackte extensie gaat of iets heel anders op de betreffende site, dat zoekt Byte momenteel nog uit.

Echter had het nooit mogen gebeuren dat de hackers via deze enkele gehackte site toegang konden krijgen tot een geheel cluster om duizenden andere sites te hacken, ongeacht het gebruikte CMS. Het is dus niet zo dat duizenden sites via het Joomla CMS zijn gehackt. De andere sites in het cluster zijn allemaal gehackt omdat "de buurman" geen bijgewerkte site had en Byte niet kon voorkomen dat de hacker via "de buurman" kon toeslaan.

En wat nu verder?

Vannacht heeft Byte de gehackte sites weer hersteld waardoor vanmorgen bij de meeste de melding al niet meer te zien was. Verder is er voor Byte werk aan de winkel om te zorgen dat een kernel exploit niet meer kan voorkomen. Daar wordt momenteel hard aan gewerkt en Byte zal zoals we gewend zijn daar open over communiceren. Ben je klant bij Byte en is je website gehackt geweest? Dan is het verstandig om je database en ftp wachtwoorden aan te passen. Meer informatie in hetzelfde artikel.

Voor alle Joomla gebruikers is het wederom een waarschuwing om te zorgen dat je de laatste versie van Joomla èn van je gebruikte extensies gebruikt. Instructie voor Joomla 1.5 is hier na te lezen en Joomla 1.7 kan je eenvoudig via de backend updaten naar de laatste versie (Extensies -> Extensie beheer -> Ontdekken).

Onder dit artikel vind je ook een overzicht van gerelateerde artikelen over veiligheid met diverse tips.

Persbericht Byte Internet

Zondagnacht heeft een hacker toegang gekregen tot het root filesystem van Cluster 2.
Hieronder leggen we uit hoe de hacker te werk is gegaan.

Een van onze klanten heeft een oude versie (Joomla 1.5.22) van Joomla gebruikt die exploitable was. Normaal gesproken beperkt deze hack zich enkel tot de website met het lek en is er geen gevaar voor de andere sites op het cluster. In dit geval echter heeft de hacker via een kernel exploit toch toegang gekregen tot het root-filesystem.

De hacker heeft in zijn hack-poging gebruik gemaakt van een exploit in de kernel. Hoewel Byte software continue up to date houdt, zijn kernelexploits altijd een mogelijk doelwit. Hierdoor had de hacker toegang tot 1 webnode in ons webcluster 2. De overige 77 clusters hebben geen last gehad van deze hack.

Om te zorgen dat het niet meer mogelijk was om verdere schade aan te richten heeft Byte op alle servers met de exploitable kernel deze vervangen. De hacker was tussen 22.30 en 23.00 actief. Byte is vervolgens tot 03.00 bezig geweest om gedeface-te sites te herstellen en kernel updates uit te voeren.

De hacker heeft in de getroffen sites verschillende index-pagina’s vervangen door deface pagina’s. Het lijkt erop dat het hier bij is gebleven maar we onderzoeken nu welke acties de hacker precies heeft ondernomen.

Hoewel het er niet op lijkt dat wachtwoorden zijn buitgemaakt, raden we klanten aan uit voorzorg hun wachtwoorden aan te passen.

Voor updates over deze kwestie raden we klanten aan onze site in de gaten te houden:
//www.byte.nl/cms/nieuws/nieuws/onderhoud.html