Onderwerp: Verdacht aanmelding Vulls J00ML4 op Joomla website

Zag plotseling een aanmelding op mijn website van iemand die ik niet kon plaatsen. Het gaat om: Vulls J00ML4.
Nader onderzoek blijkt dat Vulls J00ML4 zich op meerdere sites heeft aangemeld. Op een aantal fora wordt gesproken over een hacker.
Wellicht zijn er meerdere mensen die dit is opgevallen!?
Of dit alleen van toepassing is Joomla CMS kan ik niet beoordelen. Met betrekking de beveiliging van Joomla 3.4.1 kun je de two way authetication aanzetten. Werkt perfect met de Google authenticator app .

Niks hacker. Script kiddies.

Er circuleert een perl script dat heel wat Joomla configs kraakt. Er is nl. altijd wel een lekke plugin. Of een update die te laat of helemaal niet geïnstalleerd is. Dat is al sinds eind verleden jaar in omloop. Afkomstig van iemand uit Azerbeidjian die "mezun" als alias gebruikt. Gebaseerd op een hoop sql injectie gaten, naast verouderde php versies.

Veel "gallery" plugins zijn zeer kwetsbaar, maar er zijn er natuurlijk ook andere. Tot betalende security plugins toe.

Dweilen met de kraan open...

Je kan eens proberen met myjoomla.com te scannen. Dat geeft ten minste een idee hoe erg het is. Een eerste scan is gratis.

Oorspronkelijk geplaatst door cyrano

Er is nl. altijd wel een lekke plugin. Of een update die te laat of helemaal niet geïnstalleerd is.

Helaas zien wij dat bij alle pakketten die klanten gebruiken. En dan is het natuurlijk hoe meer gebruikers er van zijn hoe "leuker" het is om er mee bezig te gaan als script kiddie/hacker (even uit gaande dat er niet specifiek 1 site/organisatie als target is).

Dan is het tijd om eerst en vooral naar je php versies te kijken. En naar de rechten op je hosting pakketten. Eén map met toegang voor iedereen is vaak genoeg. Ik vrees dat Joomla echter de laatste twee jaar een zeef geworden is, ondanks inspanningen van de devs. Het is dat legertje plugins. De meerderheid bevat minstens één serieus lek.

Het kan ook zijn dat er wel degelijk één target is en dat de rest mee gecompromitteerd geraakt omdat het script alle domeinen van een server en alle ip's in de local range afloopt. Dat is ook maar als rand informatie belangrijk en niet de ham vraag.

Die blijft "Hoe komen ze er in?"

Persoonlijk zit ik nog altijd met één geval waar we kop noch staart aan krijgen. Mijn gevoel zegt me dat Joomla daar de oorzaak was. Maar de manier waarop hebben we niet kunnen vinden. De gelijkenis zit er in dat er gebruikers aangemaakt werden met namen als "cache, local..." die mogelijk over 't hoofd gezien worden. Dat waren wel debian gebruikers, geen Joomla accounts, maar ook in één van de Joomla's was een account met een vergelijkbare naam aangemaakt.

Wat dus zeer belangrijk is, is kijken of je root nog intact is.

In bovenstaand geval was de root volledig gecompromitteerd en dat was buitengewoon handig verborgen. Het is ook pas enkele dagen later ontdekt toen er andere malware begon binnen te komen, die niet gedetecteerd was door ClamAV omdat dat handig uit gezet was.

Gelukkig was dat maar een test VPS.

Vroeger was een compromise meestal direct zichtbaar doordat er spam verstuurd werd. Vandaag vlieger er erg veel onder de radar. Ze bewaren de server voor later. En dat later is duidelijk crimineel.

myjoomla.com is een goede tip. Die zullen we eens testen.

Ik moet zeggen dat ik ongewenste gebruikersaccounts alleen zie bij sites waar het registreren van gebruikers op de site toegestaan is.
Standaard zet ik dat dan ook uit waarna ik het niet meer tegenkom.

Soms kan dat natuurlijk niet (bij een webwinkel bijvoorbeeld). Ik heb gelukkig nog nooit plots een gebruiker als superadmin zien verschijnen. Het is altijd als normale registered user.