Blog

Joomla Wurm gefährdet Server

Linux/Elxbot heißt der jetzt durch Heise gemeldete Internetwurm. Er nutzt eine kürzlich aufgedeckte Sicherheitslücke im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. Nach der Infektion horcht der Wurm die Befehle des Betreibers ab und bietet diesem eine Fülle von – teils schädlichen – Funktionen an.

Als Einfallstor dient die Lücke in der register_globals-Emulation von Mambo, wodurch sich beliebige Skripte in das CMS einschleusen und zur Ausführung bringen lassen. Die eigentliche Funktion der Emulation ist es, nicht auf die gefährliche PHP-Option register_globals angewiesen zu sein, die Angreifern ebenfalls Tür und Tor öffnet.

Der Wurm nutzt die Suchmaschine Google, um verwundbare Systeme aufzuspüren. Hat er ein System infiziert, baut er eine Verbindung zu einem IRC-Server auf und horcht dort auf die Befehle des Betreibers. Der Wurm hat Funktionen integriert, die das Ausführen beliebiger Befehle, das Öffnen einer Shell, TCP-Floods, UDP-Floods, HTTP-Floods sowie Portscans erlauben; außerdem kann der Wurm auf Anfrage auch weitere Ziele über Google suchen. Somit ist eine Kettenreaktion ebenfalls nicht ausgeschlossen.

Die Mambo-Entwickler haben laut Changelog das Sicherheitsleck am 23. November gestopft, die seit dem 30. November verfügbare Version 4.5.3 sollte daher nicht anfällig sein. Administratoren sollten zügig die eingesetzte Version aktualisieren.

Oder zumindest den folgenden Code an den Anfang der Dateien index.php und index2.php im Stammverzeichnis von Mambo/Joomla! und in die Dateien index.php, index2.php und index3.php im Verzeichnis administrator einfügen:

/ fix to address the globals overwrite
// problem in php versions < 4.4.1
$protect_globals = array(‘_REQUEST’, ‘_GET’, ‘_POST’,
‘_COOKIE’, ‘_FILES’, ‘_SERVER’,
‘_ENV’, ‘GLOBALS’, ‘_SESSION’);
foreach ($protect_globals as $global) {
if ( in_array($global , array_keys($_REQUEST)) ||
in_array($global , array_keys($_GET)) ||
in_array($global , array_keys($_POST)) ||
in_array($global , array_keys($_COOKIE)) ||
in_array($global , array_keys($_FILES))) {
die("Invalid Request.");

    } }
in Joomla/Mambo

1 Trackback to Joomla Wurm gefährdet Server

  1. By on 14.12.2005 at 2:54

Work

Showreel

Websites REferenzen

Freakyphones

Archive